Khẩn cấp diệt con bot trên máy các bạn !

[cake1990]

Vậy là cậu Kevin chưa đọc kỹ bài post của tui ở HVA. Người cung cấp thông tin cho tui cũng là một cao thủ rất giỏi về RCE, nhưng ít người biết. Cậu ta đã viết một tracker theo dõi con AdobeUpdater từ năm ngoái. Cái tracker đó vẫn chạy tới giờ, và mấy ngày gần đây tracker của cậu ta phát hiện sự thay đổi file trên 2 server đó. Sau khi down về, cậu ta đã viết ct decode và gởi mẫu cho tui.
Bằng user agent string đó, tui cũng đã lấy được file images01.gif và cá file config mạo danh .jpg file như cậu ta !

[trungvn2092]

con AdobeUpdater là của tàu à bác, thù tàu quá ....

[dangvanthao]

Cái này có cần diệt không nhỉ: wscntfy.exe

Chắc là có bạn ạ !
Bạn đọc lại bài của TQN nè:

Mời các bạn xem ở đây: http://www.hvaonline.net/hvaonline/posts/list/39641.hva
Chắc các bạn ở đây đều biết đến tụi hacker STL. Hai ngày qua, tụi nó đang DDOS dằn mặt HVA vì các phân tích, theo dõi, truy vết của thành viên TQN.
Các bạn nên kiểm tra máy mình, kill process và xóa ngay các file sau: AcrobatUpdater.exe, AdobeUpdater.exe, wcsntfy.*.
Con bot này và các server này cũng chính là thủ phạm đã, đang DDOS và VietnamNet, boxitvn, các blog...
Thà giết lầm còn hơn bỏ sót, nếu không chính máy các bạn đang là Zombie của tụi hacker xấu xa STL này.
Chân thành cảm ơn các bạn đã đọc bài và khẩn thiết mong các bạn làm theo ! CMC, BKAV, VNCERT chưa thấy động tĩnh và giúp gì cho các bạn được trong vấn nạn virus của STL, DDOS dơ bẫn của tụi STL. Tự các bạn hảy bảo vệ chính mình.
TQN

[Nlseo01]

Chắc là có bạn ạ !
Bạn đọc lại bài của TQN nè:

Xem lại rồi thì cái wscntfy.exe không phải là thứ cần diệt. Vì wscntfy.exe khác với wcsntfy.* và trong Process Explorer nó bảo là:

wscntfy.exe wscntfy.exe 720 788 K 3,120 K Windows Security Center Notification App Microsoft Corporation

[khamnamkhoa]

Cậu birthis dính Vecebot của STL rồi. Vecebot của STL gồm các file sau:
1. wcsntfy.exe: size = 40960
2. wcsntfy.dll: size = 197632
3. wcsntfy.ocx: size = 221184
4. wcsntfy.dll.mui: size = 222208

Các file này đều mạo danh là file của MS. MS không có các file này. Sigcheck của SysInternals và symchk của WinDbg sẽ fail với các file mạo danh MS thông qua version resource để đánh lừa người dùng.

Bộ mẫu vecebot này tui đã up lên mediafire: http://www.mediafire.com/?1vh7qdcf3ccsi81.
Nếu cậu birthis không tin thì có thể down về so sánh.

Kết quả RCE Vecebot tôi đã làm gần xong hồi đó, nhưng gần đây "mèo què" của STL tới dồn dập nên tôi chưa tập trung làm tiếp việc phân tích hoàn thành Vecebot.

[khongbiengioic06]

nó khác nhau wsc với wcs a TQN ạ [IMG]images/smilies/smile.png[/IMG]

[quent]

con AdobeUpdater là của tàu à bác, thù tàu quá ....

AdobeUpdater kia bên trong code còn tàn dư cả tiếng Việt thì tàu cái khỉ gì <= Việt Nam chắc chắn [IMG]images/smilies/lick.gif[/IMG]

Bạn xem file xc.jpg mới, bạn sẽ thấy chữ tiếng Việt là: "tiep_tuc_viet_ky_su" <= không lẽ tàu viết được sao ta?

[sala4ever]

À, đúng rồi, wsc # wcs. Anh đọc cũng không kỹ. Sorry birthis nhé !
Ta hay tàu thì không biết chắc được, nhưng thằng thành viên STL tên "Wu Yu Zhen", mail "nartcogn@gmail.com" thì viết blog toàn tiếng Anh, tiếng Tàu, khi thì viết tiếng Việt. Thằng này thì anh nghi là người Việt gốc Hoa, du học ở tàu về.

[nhumotcongio]

Đọc cái P-Code của cái AdobeUpdater thấy các function đều đặt theo tên tiếng Anh. Em cũng biết một chút phong cách viết code của bọn Tàu, xem ra thì không có giống với phong cách của bọn nó lắm.

Cứ giả sử là bọn Tàu thì không có lý do gì tấn công vào các website như là danlambaovn, hay là các website đại loại như thế... Nên em khẳng định đây là người Việt, hoặc không thì bọn chúng được thuê bởi người Việt, và ít nhất có một người Việt điều khiển.

[manhhieudhhv]

Vui: chiều hôm qua up mẫu cho Kaspersky Lab, sáng nay update đã diệt gọn AcrobatUpdater.exe. Mình phải năn nỉ KIS nhả ra tạm thời để mình còn RCE tiếp.
Các bạn khác dùng các AVs khác nên bỏ chút ít thời gian up mẫu AcrobatUpdater.exe lên các website support của AV mà các bạn đang dùng. Làm vậy thì cũng chính các bạn đã góp một tay xóa bỏ sạch sẽ vấn nạn DDOS hai năm qua, tiêu diệt các con bot của STL.