Tường thuật trận đấu TQN vs. Sinh tử lệnh (tiếp)

Truy tìm theo email

Trong trận đấu này có hai hướng truy tìm thủ phạm: theo địa chỉ IP và theo email. Phần truy theo địa chỉ IP hay, phức tạp nhưng không có gì bổ ích cho người dùng bình thường nên tôi không tường thuật lại. Riêng phần email thì có nhiều điểm hay.

Một file doc giả có chứa virus được gửi cho admin conmale, conmale lại gửi tiếp cho TQN và kết quả là cả hai người đều bị dính virus (toàn các cao thủ về bảo mật! Mở file tù mù đính kèm theo email nguy hiểm như thế đó). File này khi mở

Kịch bản nó như sau: Chạy file doc giả, nó dump ra 1 đống file trong đó có 2 file svchost.exe trong thư mục %windir% ( chứ không phải system32 nhé) là giả mạo. Đồng thời đi kèm nó là 1 DLL: svcph.dll

1 file sys tên là sysaiudor.sys có nhiệm vụ ẩn tiến trình và key trong registry, vì thằng svchost.exe có ghi 1 key run là Network balancing trong HKCU\Software\Microsoft\Windows\CurrentVersion\Run

… trong đó có 2 email đáng chú ý:

xuann28@yahoo.com
ngnamhungntt@gmail.com

Người bình thường như tôi với bạn mở file doc bằng Microsoft Word hoặc OpenOffice Writer chỉ thấy nội dung văn bản. Nhưng nếu thử mở file doc bằng một trình soạn thảo text (notepad, kate, gedit, …) sẽ thấy ngoài nội dung văn bản có rất nhiều mã lệnh dùng điều khiển việc hiển thị văn bản, in ấn, v.v…Đây là nơi lý tưởng để chèn các mã độc vào. Không riêng gì file doc, các file ảnh, screensaver, video, …đều có thể chèn virus. Nhận mail “phim sex của em XXX” thì chắc 99% là mở!

Hai email trên dùng để nhận các thông tin lấy trộm được do virus gửi về qua các máy chủ smtp của Yahoo hoặc Gmail nên phải có password (post trước tôi không hiểu điều này). Khi truy cập vào các hộp thư trên, TQN phát hiện ra:

Các bạn có để ý kỹ, đọc kỹ 3 bức hình và bài post của anh conmale không ? Tài khoản Yahoo Mail của xuann28@yahoo.com có liên quan tới một thằng cha bên tàu, đuôi .cn. Chủ nhân xuann28@yahoo.com và xuan28@yahoo.com.vn là một, và email tạo thằng xuan28@yahoo.com.vn là từ một thằng tàu khựa.

Địa chỉ xuann28@yahoo.com (các bạn chú ý, xuann, có 2 chữ n nhé) nằm chình ình trong file Exe giả doc sau khi được decode.

Kết luận trên dựa vào địa chỉ email dùng khôi phục password có đuôi .cn và câu hỏi bí mật khôi phục password dùng chữ Hoa. (xem post số 59, nhưng phải reg nick mới xem được hình).

Trong hộp thư xuann28 có một thư của Wu Yu Zhen (nartcogn@gmail.com), nội dung: “anh in và chuyển chief V dùm em!” đính kèm một file thông tin theo dõi một nhân vật LDV. Ảnh một phần file đó ở đây: http://img88.imageshack.us/img88/4518/ldvmail.gif. Máy của LDV bị cài virus lấy mật khẩu hộp thư và từ đó hộp thư bị theo dõi ít nhất là từ 10/2010. Sếp V chắc cũng già rồi nên không đọc mail chỉ đọc văn bản giấy!

Căn cứ vào cái email này, TQN kết luận:”Không biết bà con nghĩ sao chứ em thì nghĩ thằng “Wu Yu Zhen” “nartcogn@gmail.com” đích thị là thằng STL đúng nghĩa, tàu khựa đúng nghĩa.”

STL thì đúng rồi, nhưng tàu khựa chỉ dựa vào cái tên thì chưa chắc. TQN hỏi cụ Gúc :”Em chả biết thằng này là Hoa hay Tàu nữa, google với “Yu Zhen” “nartcogn” lòi ra một đống thú vị về cu này, học vật lý, lại đi tìm hiểu về virus, bảo mật, hack hiếc, viết blog thì lúc tiếng Việt, lúc tiếng Anh, lúc tiếng tàu khựa. Post nhạc lên nhaccuatui thì toàn là nhạc Hoa, hình thì toàn là thư pháp của tàu, hình ảnh diễn viên Hồng Kông. Thằng này sao rành tiếng Việt quá vậy ha ? Hâm mộ Lưu Đức Hoa và Châu Tấn, là thành viên của một vài diễn đàn Game Online. Thằng này chắc còn nhỏ nên mới khoái mấy cái game online đó.”

Cũng cụ Gúc cho ra hai cái blog của Wu Yu Zhen trên wordpress và yahoo nhưng đã bị xóa sạch. Tuy nhiên theo cache của Google vẫn đọc được nội dung blog. Cũng không có gì ghê gớm.

Cũng cụ Gúc cho ra cái “Kế hoạch học tập” này http://www.xmind.net/share/nartcogn/planning-study/. Căn cứ vào đây thì năm 2008 tay này còn là sinh viên, người Việt (?) nhưng học hai ngoại ngữ Anh và Hoa. Bạn có thể tự gúc “Yu Zhen” + “nartcogn” để xem.

Đây cũng là cái mà tôi có nói trong một post trước: tình báo nguồn mở. Từ những thông tin công khai trên mạng, báo chí, … người ta có thể dựng lại chân dung một người, một việc với khá nhiều chi tiết!

Những thông tin dưới đây là rất đáng chú ý:

Theo anh thì phần mềm nào mà máy tính nào của người Việt chắc chắn sẽ cài?? ngoại trừ Windows ra thì là các bộ gõ tiếng Việt đúng không ạ smilie . Theo thói quen thì khi anh muốn 1 phần mềm thì cái đầu tiên anh nghĩ đến là gì, chắc chắn là anh dùng các trang như Google để tìm đúng không ạ smilie

Bọn chúng đánh vào đặc điểm này của người dùng smilie

Link download Unikey thường từ các trang download soft của VN ta, bạn em sau khi cài lại máy, nó tải về để gõ tiếng Việt. link này nằm trong 10 link đầu tiên google.com.vn trả về nên bạn em bị dính cũng không có gì là lạ. Không biết chúng còn thêm phần mềm nào trên đó tương tự hay không, nhưng em nghĩ số lượng không ít đâu.

Kịch bản nó hoạt động thế này: Sau khi chạy cái Unikey giả(>500KB), nó cài đặt cái Team Viewer giả và patch lại file Unikey cũ (chỉ còn 256KB). Anh nếu có tải về thì thử chạy trong máy ảo mà xem, bạn ấy anti máy ảo, sandbox, hiện thông báo như đúng rồi smilie. Ban đầu em cũng bị lừa, may mà tỉnh táo, kéo vào IDA luôn.

Theo em thì có lẽ người có account để up file lên đây cũng bị như anh, nghĩa là bị cài keylogger , sau đó mất password, khả năng trang này bị lỗi là rất thấp. Vào thời điểm em lấy mẫu thì đã có 7017740 tải nó về, cứ mỗi ngày có trung bình 2000 lượt tải về.

Chính vì việc bọn chúng dùng cách này để phát tán bot, em càng nghi ngờ là STL anh ạ, Anh đọc code thì sẽ thấy, cũng quen thuộc lắm. Và cách thức patch như thế, fake ngon như thế, chắc là STL làm. Quả là thâm độc và có tính toán. Unikey thì chả ai nghi ngờ gì cả, người dùng thì mấy ai vào trang chủ để download, tiện đâu download đấy thôi

Điều này có nghĩa là người up file unikey lên không có lỗi. Anh ta cũng bị cài keylogger, mất password account up file và do đó file unikey bị sửa. Với hơn 7 triệu lượt tải Unikey về thì có thể hình thành một mạng máy tính ma botnet vài triệu máy. Thảo nào mà ngay cả HVA cũng bị tấn công DDoS dữ dội.

Kinh nghiệm của TQN:

“Em thì em biết chắc mấy cái Unikey, Vietkey bị patch và attach “mèo què” rồi. Em thì không dùng Vietkey, dùng Unikey down ở homepage sourceforge của Unikey, đã RCE kiểm tra.

Em xin nhắc lại, toàn bộ bà con đang đọc topic này, remote ngay cái Unikey, Vietkey bà con đang dùng, lên Unikey homepage download lại, cài Comodo Firewall free ngay !

Tới trưa nay, sau 1 lúc RCE mẫu mới của STL, em xin nhắc lại lần nữa: Các bạn remote ngay Unikey, Vietkey… down từ các trang không phải trang chủ về. Search các file TeamViewer.exe có size = 65536 byte và uxtheme.manifest, size = 103,424 bytes. Xoá ngay hai ông nội này ngay lập tức, bằng mọi cách.
Down từ trang chủ của Unikey cũng không chắc vì như đã nói ở trên nếu chủ nhân bị hack password thì file trên trang chủ cũng bị sửa trừ khi kiểm tra mã Md5Sum, SHA1,…. Bạn nào hay tải open source đều biết mỗi file đều được công bố Md5Sum, SHA1,… kèm theo để sau khi tải về kiểm tra xem file có “gin” không. Trang chủ Unikey không cho cái gì để kiểm tra, RCE như TQN thì chịu.

Nếu HVA cho tải Unikey hay Vietkey đã RCE thì tốt quá!

Những ý kiến này nhiều ý nghĩa:

Đơn giản thôi vấn đề là STL không bị phát hiện bởi các đơn vị bảo mật chính thống như VNCERT hay BKIS của anh Quảng Bomb mà bởi 1 thành viên của diễn đàn hacker mới buồn.

Buồn nhất là vụ anh Quảng vác tù và hàng tổng đi hack server giùm anh Hàn Quốc, mà vụ STL có ảnh hưởng đến cộng đồng người Việt lớn như vậy mà không thấy anh ý phản ứng gì.

…số lượng người nhiễm “mèo què” của STL cực lớn, vậy mà không ai ra tay ngăn chặn cả. BKAV thì im ru bà rù, CMC thì giờ mới cập nhật. Trong khi đó tụi nó code mẫu mới liên tục. Sức em có hạn, làm sao mà phân tích, công bố hết đám mẫu của tụi nó.”

Câu này của conmale rất hay:

Trong trò chơi “chân chân giả giả” này cái thiệt hại ghê gớm nhất không phải là bị cài trojans, bị mất hòm thư hoặc bị bêu rếu một cách thô thiển mà là sự ngờ vực lẫn nhau. Những trò chơi của STL đẩy người ta tới chỗ chẳng có ai còn có thể tin ai được nữa vì tất cả đều có thể là giả dối, nguỵ tạo và lường gạt.

Rất cảm ơn diễn đàn HVA và “hiệp sỹ” TQN.

Advertisements

15 thoughts on “Tường thuật trận đấu TQN vs. Sinh tử lệnh (tiếp)

    • Nếu quan tâm đến security thì Crunchbang không phải là một lựa chọn hay: http://crunchbanglinux.org/wiki/downloads
      Disclaimer
      CrunchBang Linux is not recommended for anyone needing a stable system or anyone who is not comfortable running into occasional, even frequent breakage. CrunchBang Linux could possibly make your computer go CRUNCH! BANG! Therefore CrunchBang Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law.
      CrunchBang Linux is an unofficial version of Debian GNU/Linux

  1. HVA giờ quan tâm chính trị nhiều quá, Conmale ~ Postmodernism của phản động x-cà bị STL bạch hóa từ năm ngoái đến năm nay vẫn còn căm nên kích HVA mem vào cuộc :D, TQN cũng chỉ là con chốt thí mạng thôi. HVA forum thì đặt chung với tienve.org cũng là trang phản động (http://centralops.net/co/DomainDossier.aspx => 74.63.219.12 sẽ ra info), hình như năm ngoái tienve.org bị hack, STL lụm được mớ data của HVA trỏng rồi chưng lên làm anh Conmale càng căm hơn, quyết đuổi cùng giết tận. Cuộc chiến này còn dai dẳng chán.

    • Em theo dõi nên biết vậy thôi, chứ em mà là STL thì vinh dự chán, em chẳng bênh ai cả, mỗi người có 1 chí hướng, STL thì bảo vệ ổn định chính trị của đất nước, đánh mấy trang phản động, còn HVA, Conmale, TQN cũng có mục đích riêng của họ, ai cũng có lý cả.

  2. Em thì em gặp bác TQN ngoài đời rồi, từng offline, uống cafe với bác ấy vài lần, tầm 35-37 tuổi, giản dị, bình dân, hòa đồng, dân kỹ thuật, không màng ba cái chuyện chính trị vớ vẫn, lo làm ăn. Em rất ngưỡng mộ bác ấy. Vậy nên bác nói bác TQN là chốt thí của Conmale thì em không đồng ý. Tính bác TQN thấy sai, giả dối là bất bình ra tay thôi.

    • anh TQN này cũng hay nhưng nghe giọng điệu có vẻ nóng nảy, cay cú quá nhỉ :d ảnh bảo bị STL chê nên chơi tới bến :d nghe giọng anh ấy khó tin anh ấy tới tầm 37 tuổi?

  3. Anonymous says “STL thì bảo vệ ổn định chính trị của đất nước, đánh mấy trang phản động”

    Bằng cách nào vậy bác :P:P:P

  4. Ông nội nặc danh nào đó ngu xuẩn thế! Ai bảo ông trang tienve là trang phản động vậy? Ông xem trang ấy chưa? Ông vào đấy mà xem danh mục tác giả, tác phẩm thì toàn là các ông tai to mặt lớn trong hội văn học của Việt Nam cả đấy. Hoá ra các ông tai to mặt lớn ấy toàn là bọn phản động à?

    Đúng là con nít chưa ráo máu đầu không biết cái gì cả.

  5. Pingback: Tản mạn về phần mềm “sạch” | ZXC232-Phần mềm tự do nguồn mở – Free and open source software

  6. STL chắc bị lật tẩy nên giờ im re rồi, không thấy vụ nào mới nhỉ 😀 Chắc bị lộ hết hàng rồi :))

  7. Pingback: Tường thuật trận đấu TQN vs. Sinh tử lệnh | ZXC232-Phần mềm tự do nguồn mở – Free and open source software

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Đăng xuất / Thay đổi )

Connecting to %s