1. Kết quả Event Ghost 2016


    Dưới đây là danh sách những thành viên đoạt giải thưởng trong Event Ghost 2016

Hướng dẫn tiêu diệt mã độc ẩn nấp trên máy tấn công các báo điện tử

Thảo luận trong 'Tin Công nghệ' bắt đầu bởi nhox_kenny, 18 Tháng bảy 2013.


  1. nhox_kenny

    nhox_kenny Một bạn nam giấu tờ rym!!!

    126
    53
    28
    Tên thật:
    Đỗ Đình Hiếu
    Chắc chúng ta đã từng nghe về việc các trang báo điện tử bị tấn công DDOS trong thời gian vừa qua. Qua quá trình tìm hiểu và điều tra, các trang báo đã gần như khống chế được các trận DDOS này.

    Để tiến hành các cuộc DDOS, attacker đã sử dụng 1 loại mã độc được gọi là Cbot (Chưa rõ phương thức lây lan) để điều khiển các máy tính bị nhiễm này gửi yêu cầu đến các trang báo điện tử.

    Khi lây nhiễm vào máy tính nạn nhân, phần mềm độc hại này sẽ lắng nghe lệnh điều khiển từ 3 server
    • media.bulkweb.org
    • speak.checknik.com
    • lovenet.contbiz.com

    [​IMG]
    Danh sách các server phát lệnh được gắn cứng trong mã nguồn


    Tại thời điểm hiện tại, chỉ có speak.checknik.com là hoạt động, có địa chỉ IP là 91.109.24.149. Đây là địa chỉ IP thuộc nước Đức.

    Vào thời điểm phân tích, lệnh tấn công được phát động có đích là
    Code:
    Vietnamnet
    • vietnamnet.vn
    • m.vietnamnet.vn
    • batdongsan.vietnamnet.vn
    • m.batdongsan.vietnamnet.vn
    Dân Trí
    • dantri.vn
    • s.dantri.com.vn
    • m.dantri.com.vn
    • dantri.com
    • dantri.com.vn
    Tuổi trẻ
    • tuoitre.vn
    • sevice.tuoitre.vn
    • wa2.tuoitre.vn
    • m.tuoitre.vn
    • s.tuoitre.vn
    • wa3.tuoitre.vn
    • wa4.tuoitre.vn
    Dưới đây là ảnh chụp 1 phần lệnh điều khiển được gửi tới Cbot thực hiện
    [​IMG]

    Sau khi nhận lệnh, cbot sẽ liên tục gửi yêu cầu đến đích tấn công
    [​IMG]



    Quay lại với cbot, phần mềm này sau khi lây nhiễm sẽ nằm trong thư mục C:\Program Files\WIDCOMM với tên file giả mạo giống với dịch vụ điều khiển bluetooth của máy (btwdins.exe).

    [​IMG]



    Để gỡ bỏ cũng như kiểm tra máy có nhiễm mã độc này hay không, bạn có thể sử dụng công cụ DDOSSTL REMOVER của CMC tải: Tại đây

    [​IMG]
    Công cụ loại bỏ mã độc cbot
     
    t.vanhuong and GMinh like this.
  2. nhox_kenny

    nhox_kenny Một bạn nam giấu tờ rym!!!

    126
    53
    28
    Tên thật:
    Đỗ Đình Hiếu
    ai thấy mạng mấy tuần nay chậm thấy rõ thì thử nhé!
     
  3. sirenangel

    sirenangel Member Tích Cực

    188
    58
    28
    Tên thật:
    Hưng
    vụ này tuần trước thấy nói trên HVA rồi. chỉ tội mấy ông VN, làm báo mà đụng chạm phải thằng nào nó thù dai thế k biết. do trong nước thì k nói. nếu do bên ngoài thì lại liên quan đến chính trị, đau đầu...
     
  4. sirenangel

    sirenangel Member Tích Cực

    188
    58
    28
    Tên thật:
    Hưng
    chỉ tấn công máy chủ chứa sever các báo VN thôi. mạng thì ảnh hưởng gì chứ. ai hay đọc báo điện tử trên mấy trang đó thì load còn lâu mới xong
     
  5. GMinh

    GMinh I.T , Community Technology , Comic and Music

    138
    31
    28
    Tên thật:
    Nguyễn Hoàng Minh
  6. nhox_kenny

    nhox_kenny Một bạn nam giấu tờ rym!!!

    126
    53
    28
    Tên thật:
    Đỗ Đình Hiếu
    bạn vào mấy trang bị hack đó, nó lây lan về máy, thế là bị nhiễm mã độc thôi
     
  7. nguoikhongten03

    nguoikhongten03 Member Tích Cực

    191
    107
    43
    trước đó dùng tool của anh TQN bên HVA cũng xóa được con bot này rồi :D
     

Chia sẻ trang này