SINH TỬ LỆNH ĐÃ BỊ VẠCH MẶT

**nguoibatcao** · 08-07-2011, 09:26 PM

SINH TỬ LỆNH LÀ AI ? SINH TỬ LỆNH ĐÃ LÀM GÌ ?

NBC post bài này vào chuyên mục này để nhiều người củng tham khảo. Kính đề nghị Bạn Quốc Dân vào địa chỉ dưới đây để tham khảo bài viết về cách vô hiệu hóa "sinh tử lệnh" của tác giả TQN: http://www.hvaonline.net/hvaonline/posts/list/39504.hva

Phan Nguyễn Việt Đăng (Saigon)

Từ một cuộc tìm kiếm có vẻ như cũng không mất mấy công phu, một hacker theo đạo Phật, có bí danh là TQN, vừa công bố danh tính của nhân vật có tên là Sinh tử lệnh (hoặc ít nhất là thành viên của nhóm Sinh tử lệnh)

Các nhân vật này là những hacker vẫn theo lệnh của công an Việt Nam tấn công vào các trang nhà của các nhân vật hay nhóm dân chủ trong và ngoài nước. Toàn văn chứng minh về mặt kỹ thuật tin học, đã được TQN giới thiệu trên một diễn đàn của giới tin học-lập trình Việt Nam, tại địa chỉ:

http://www.hvaonline.net/hvaonline/posts/list/39504.hva

Trong một giọng điệu châm biếm nhẹ nhàng nhưng thấm đau nhanh, tác giả TQN gọi nhóm Sinh tử lệnh bằng cái tên mới là “Sống chết theo lệnh”. Mô tả công việc của nhân vật bị vạch mặt này, TQN chỉ rõ đây là một nhân vật thâm hiểm, giả dạng là thành phần yêu dân chủ, xuất hiện với những nick khác nhau, tham gia nhiều diễn đàn và cũng lên tiếng chài mồi bằng cách chửi bới chế độ CS và rũ rê nhiều blogger khác chat riêng để tìm thêm thông tin. Sau khi gửi các virus vào máy nạn nhân nhằm lấy password, chiếm hộp thư…v.v, Cuối cùng sau khi đã bao vây con mồi, Sinh tử lệnh mở chiến dịch tấn công.

Trong các phần giới thiệu dưới đây, xin được tạm gọi tắt nhân vật bị lộ diện là Sinh tử lệnh, mặc dù nhóm này được dự đoán là có thể lên đến 3 người.

Sinh tử lệnh là ai?

Tất cả đã được bạch hóa đến mức khó ngờ. Tên thật của Sinh tử lệnh là Tuấn, sinh năm 1978 tại Quảng Nam. Y từng học qua trường THPT Hoàng Diệu tại Quảng Nam. Lên mạng, Tuấn có nick là tohoangvu.
Tuấn hiện đang sống tại P.5 Quận 8, Saigon và làm việc ở Quận 1 dưới vỏ bọc là một nhà thiết kế. Số điện thoại liên lạc của Tuấn hiện nay, cho đến giờ phút này là 0932.060.268. Hộp thư chính để liên lạc cũng như để làm công việc thu lượm thông tin tấn công các nạn nhân, có địa chỉ là socidemo@yahoo.com.a u.

Tuấn kết hôn năm 2005 với một phụ nữ tên là Phan Thị Minh Thư, năm 2006 có đứa con gái đầu tiên, biệt danh là Chip.

Tuấn hiện đang sống tại P.5 Quận 8, Saigon và làm việc ở Quận 1 dưới vỏ bọc là một nhà thiết kế.

Từ cách thức của nhân vật bị lộ diện này, cho thấy, các nick xuất hiện trên mạng hay có đồng ý kiến nhưng cũng mang giọng điệu chửi bới cực đoan, rất có thể là công an mạng. Vì vậy, thận trong trong giao tiếp cho phép chat riêng và gửi mang kèm file… là những điều cần phải xét lại với những ai có chính kiến trên mạng.

Tác giả TQN có khuyến cáo, cũng như nhiều chuyên viên tin học khác, rằng máy tính muốn thoát khỏi các vụ theo dõi, cướp hộp thư, blog… tốt nhất là nên hay thay đổi password, luôn cập nhật các chương trình rà soát virus trong máy. Thậm chí nếu cảm thấy không an tâm, cũng nên thay mới, cài lại các chương trình gõ chữ Việt, vốn có thể nhiễm virus và ghi lại các mật mã, chuyển tập tin đó cho các hacker của công an mạng.

Sinh tử lệnh đã làm gì?

Rất nhiều người cho rằng nhóm Sinh Tử lệnh này nằm dưới quyền của ông Lê Mạnh Hà, Giám đốc Sở Thông Tin Truyền Thông Saigon, có biệt hiệu là “thái tử”, vì ông ta vốn là con trai của nhà lãnh đạo cấp cao đầy quyền lực trong bóng tối, Lê Đức Anh.

Một trong những hoạt động phôi thai nhưng không kém phần hiểm ác của nhóm này, được biết là vụ gài và bắt nhà dân chủ Trần Huỳnh Duy Thức vào năm 2009… Sau đó, nhóm Sinh tử lệnh đã hoạt động ráo riết theo phương châm được mỉa mai là “Sống chết theo lệnh” để tấn công vô số các trang blog, vốn có từ giai đoạn giới đấu tranh trong nước hay sử dụng Yahoo 360 độ và Multiply, trước giai đoạn chuyển sang Facebook.

Các trang tin tức như Bauxite Việt Nam, Ba Sàm… cho đến hàng chục các trang blog khác cũng đã bị nhóm Sinh Tử Lệnh tấn công, phổ biến bằng phương thức DDos, nhằm bịt đi các ngôn luận và thông tin chỉ trích chính phủ. Nhóm này suốt một thòi gian dài là nỗi lo ngại cũng như khinh bỉ của nhiều blogger.

Một trong những hoạt động cuối cùng của Tuấn / tức nick tohoangvu là chiếm hộp thư và blog của một người tên Hương Giang. Đây là một người đấu tranh độc lập trên mạng, sở hữu cùng một lúc 2 trang blog là chibasam.blogspot.co m và trang anhbalang.wordpress. com. Sau khi chiếm hộp thư của (chị) Hương Giang, có tên là tuonglaivietnam2015@ gmail.com, nhân vật Tuấn / tohoangvu này tiếp tục sục sạo và tìm kiếm thêm các nạn nhân mới. Khi bị tác giả TQN tấn công, chiếm lại hộp thư này, người ta nhìn thấy ngoài địa chỉ thư chính của Tuấn, còn có thêm 2 nhân vật khác khả nghi là toquocghicong1@gmail .com và tralomitu676@yahoo.c om. Đây có thể là những email khác của Tuấn / tohoangvu, nhưng cũng rất có thể là 2 thành viên khác của nhóm “Sống chết theo lệnh”.

Tuấn / tohoangvu đã lộ mặt, và có lẽ y cũng sẽ sớm thay đối để dấu mình. Tuy nhiên sự kiện này cho thấy trong cuộc đấu trí của người yêu nước với công an CSVN thi rõ là “núi cao còn có núi cao hơn”. Và đã đến lúc chính những kẻ chuyên ném đá dấu tay hèn hạ trên mạng theo lệnh công an, cũng học được bài biết sợ hãi ánh sáng là như thế nào.

Phan Nguyễn Việt Đăng (Saigon)
http://bandoclambao.wordpress.com/20...;ch-mặt/

**nguoibatcao** · 08-07-2011, 09:45 PM

Để tiện cho việc tham khảo NBC sẽ post toàn bộ bài viết của tác giả TQN về đây

RCE và vô hiệu hoá VB.NET virus (của STL à ?)

Hi anh em !

Tình hình là em xin lỗi đã dừng topic RCE đám "méo què" của STL bên kia hơi lâu. Anh em thông cảm, dạo này em lu bu nhiều việc quá, công trình đã nghiệm thu, còn làm lặt vặt, phải lo đi nhậu nhẹt, tìm công trình mới, rồi còn phải nuôi một mớ "rau cỏ" nữa. Vì vậy thời gian ngồi máy của em hơi bị ít đi. Gần đây sếp công ty mẹ vào dí em nữa.

Trưa nay em trốn ở nhà, ngồi post bài này. Post ngắn thôi, từ từ em post tiếp.

Số là gần đây có một bạn có gởi cho em một cục "méo què" nữa, theo bạn ấy là "mèo què" của tụi STL. Đám "meo què" này giã danh là các file .jpeg scan nói gì đó về cha Nguyễn Văn Lý gì đó, mà em có biết cha Lý này là gì đâu, vì em theo Phật Giáo và Ma giáo mà, nên em không care nó chữi rủa gì trong đó. Đám "meo què" này đang phát tán trong cộng động công giáo VN và Hải Ngoại. Bạn ấy nói nghi ngờ là của tụi STL. Em không dám chắc lắm.

File bạn ấy gởi cho em ở đây:

http://www.mediafire.com/?ba021pr86xn113i
Password = !123456

Các bạn để ý là trong đấy có 3 file có đuôi là .scr, tức Screen "Say vờ" của Windows. 3 file .scr này là 3 file .exe, viết = VB.NET trên nền .NET Framework 2.0.

Các file .scr này được protect và obfucscated bằng SmartAssembly và dotNET Reactor. Nhưng không sao, vào tay em là "chuyện nhỏ như con thỏ". Sau khi em unpack và deobfuscator ra, em mới bắt đầu RCE nó.
Quá trình RCE .NET virus này hơi dài, nên từ từ em post sau. Sau mấy ngày RCE, sáng sớm một chút, tối về. sau khi "xỉn xỉn", RCE một chút, em đã tìm được author của đám virus này.

Kỷ thuật mà đám "méo què" này dùng để dùng keylog, ăn cắp hầu hết thông tin về máy nạn nhân, ăn cắp username và password của nạn nhân trong FireFox, IE, Google Chrome, YM, Skype... y như đám "méo què" bên kia, không khác một chút. Vd: cũng dùng SQLLite, các DLL của FireFox và các API đó, cũng lấy ProductID, WinVer của máy nạn nhân.... Chỉ khác bên kia là native code (RCE mệt bỏ xxx), bên này là .NET code, RCE "khoẻ ru bà rù".

Vì vậy, em có thể dám chắc 90% là đám "méo què" này là của tụi Sống Chết theo Lệnh (STL). Em nói đúng không mấy anh STL. Nếu em có nói đúng thì đừng buồn em nhé, còn không phải của mấy anh thì "sa pha" nó ha !

**nguoibatcao** · 08-07-2011, 09:58 PM

Tiếp tục nào, vì quá trình RCE đám "méo què" này hơi dài dòng, nên em sẽ bỏ qua khúc thân bài. Thân bài em post sau, em nhảy thẳng vào phần kết luận nhé, được không mấy bạn.

Sau khi RCE xong, em đã xác định được thông tin của author của đám .NET "mèo què" này. Author của nó là cậu

Tên trên diễn đàn: tohoangvu
Tên thật: Tuấn
Năm sinh:1978
Nghề nghiệp: Thiết kế
Quê quán: Quảng Nam
Nơi ở hiện tại: F5, Q8, Hồ Chí Minh
Liên lạc: socidemo@yahoo.com.a u
Sở thích: Đá bóng, nghe nhạc, karaoke.

Cậu này nhỏ tuổi hơn em, là cựu Học sinh của trường THPT HOÀNG DIỆU - QUẢNG NAM.
Blog chính:http://phanthiminhthu.blogspot.com/

Hình của cậu ta đây:

Chỉ cần google với socidemo@yahoo.com.a u, các bạn sẽ tìm ra một đống thông tin về cậu này. Cậu này hình như đang làm thiết kế ở Q1, nhà ở Q5, trên mạng nói là không biết về lập trình. Ấy vậy mà lại biết viết "mèo què" mới ghê ghớm chứ.

À, sẽ có bạn hỏi lại, làm sao thằng cu anh này dám chắc author của đám meo què đó là của tohoangvu.

Dạ có ngay, em sẵn sàng phục vụ. Trong quá trình RCE, em phát hiện là đám "meo què" này gửi toàn bộ thông tin của victim về Google mail. Đây là một vài thông tin cấu hình về Gmail, FTP username, pwd của nó:
File Scan_000.scr:

cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5 NB5h64=
oNIx2zknAa67WFSorZQv/Q==
slIbnSGRCPPsJeFM/jPcYQ==
90/u7E7RZcQ=

File Scan_005_Letter.scr

cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5 NB5h64=
oNIx2zknAa67WFSorZQv/Q==
slIbnSGRCPPsJeFM/jPcYQ==
90/u7E7RZcQ=

File Scan_Page.scr

cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5 NB5h64=
oNIx2zknAa67WFSorZQv/Q==
smtp.gmail.com
587
False
1TtkPA9wSPz7EXzOGfb+ 0A==
Az93AnVF5+c=
Az93AnVF5+c=

Các thông tin này được mã hoá = TripleDES và Base64. Em đã dùng chính code giãi mã của nó để decode các string trên ra:

Code:

using System;
using System.Collections.G eneric;
using System.Text;
using System.IO;
using System.Security.Cryp tography;

namespace Decode
{
public class cTripleDES
{
private byte[] m_key;
private byte[] m_iv;
private TripleDESCryptoServi ceProvider m_des = new TripleDESCryptoServi ceProvider();
private UTF8Encoding m_utf8 = new UTF8Encoding();

public cTripleDES(byte[] key, byte[] iv)
{
this.m_key = key;
this.m_iv = iv;
}

public string Decrypt(string text)
{
string str = null;
byte[] buffer = null;
byte[] bytes = null;
try
{
buffer = Convert.FromBase64St ring(text);
bytes = this.Transform(buffe r, this.m_des.CreateDec ryptor(this.m_key, this.m_iv));
str = this.m_utf8.GetStrin g(bytes);
}
catch (Exception ex)
{
Console.WriteLine(ex .Message);
}
return str;
}

public byte[] Transform(byte[] input, ICryptoTransform cryptoTransform)
{
CryptoStream stream = null;
MemoryStream stream2 = null;
byte[] buffer = null;
stream2 = new MemoryStream();
stream = new CryptoStream(stream2 , cryptoTransform, CryptoStreamMode.Wri te);
stream.Write(input, 0, input.Length);
stream.FlushFinalBlo ck();
stream2.Position = 0L;
buffer = new byte[((int)(stream2.Lengt h - 1L)) + 1];
stream2.Read(buffer, 0, buffer.Length);
stream2.Close();
stream.Close();
return buffer;
}
}

class Program
{
static void Main(string[] args)
{
byte[] key = new byte[] { 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 0x10,
0x11, 0x12, 0x13, 20, 0x15, 0x16, 0x17, 0x18 };
byte[] iv = new byte[] { 0xff, 70, 60, 50, 40, 30, 20, 10 };
cTripleDES tripleDES = new cTripleDES(key, iv);
string str = tripleDES.Decrypt(ar gs[0]);
Console.WriteLine("S tring decoded: " + str);
Console.ReadLine();
}
}
}

Sorry anh em STL và các anh em khác nhé, em vốn ghét và dốt C#, nên em cứ phang đại console app, code tệ một chút nhé. Mà mấy anh STL có thấy cái class cTripleDES đó có phải của mấy anh không ? Đừng chối nhé !

Cả 3 file .scr của đám "meo què" này đều dùng chung thuật toán và m_key, m_iv trên. Rút kinh nghiệm nhé mấy anh STL, đừng dùng chung như vậy. Em chỉ cần code 1 decode là ra cả đống à.

Và dưới đây là kết quả decode của cái ct decode của em với đống data trên:

Hì hì, có username và password của Gmail rồi, em login vào liền, kiểm tra IP của tuonglaivietnam2005 ở đâu:

Vậy ra cậu này cũng ở VN à, IP Viettel và VNPT. Cậu ta vừa mới login để xem thông tin victim xong.
Em đổi ngay password liền, thay đổi câu hỏi bí mật và một số thông tin khác ngay.
Vậy là tiêu em tuonglaivietnam2005, các con virus của cậu thành "mèo què" rồi, cứ ngồi ở máy victim mà cố gởi data nhé.

**nguoibatcao** · 08-07-2011, 10:02 PM

Sau khi login vào mail Google của tuonglaivietnam2015, em capture một loạt thông tin của cậu này:

[IMG]

[/IMG]

Blog gắn với hộp mail này: http://chibasam.blogspot.com.

Cũng lạ, blog này chống đối chế độ mà, không lý ngay cả cậu tohoangvu này đang chơi trò 2 mặt, nằm vùng à, hay cậu cũng là victim của STL, bị STL chiếm hộp mail của cậu.

Thành thật xin lỗi cậu tohoangvu gì đó, nếu cậu là thành viên của STL thì tui phải làm vậy thôi. Tui vốn rất ghét cái trò gian trá, xảo quyệt, ăn cắp, hù doạ thiên hạ của mấy cậu. Lúc trước mấy cậu xúc phạm tui, ăn cắp pass của tui, thì bây giờ tui dùng chính trò của mấy cậu, "gậy ông đập lưng ông", vạch mặt mấy cậu.

Đám "meo què" của mấy cậu lợi hại thiệt đó, em vào gmail của cậu đọc mà hết cả hồn, chát chít, tán gái, xem hình, phim xxx, nói xấu chế độ... gì đó trên máy victim đều bị các cậu log, capture image hết. Kinh thiệt. Hèn gì các cậu quậy "banh ta lông" mục tiêu của các cậu được.

Nhưng mà sẵn đây cũng cảm ơn mấy đại ca STL, nhờ đó em có thêm vài nick chat đặc biệt khác để em giải mệt nhé.

Bà con nào muốn vào xem cái Gmail ấy thì PM riêng cho em để em cho password. Cấm đổi nhé.

**nguoibatcao** · 08-07-2011, 10:06 PM

Hì hì, bức cái gì nữa mà bức, rành rành ra đó rồi. Hy vọng cậu tohoangvu này chỉ là victim của STL và bị STL lợi dụng.

Qua cái IP login đó, các cậu nghĩ đám STL này ở đâu vậy ?

Bữa nào rãnh rỗi, mời mấy anh em STL đi nhậu với em để tâm tình nhé. Chứ tình hình này là em còn tiếp tục RCE, vạch mặt mấy anh dài dài rồi.

Và dưới đây là minh hoạ cho tình trạng của victim khi bị đám "mèo què" này capture được khi đang chát với em út:

Só ri cậu newhop88 nhé, em chỉ minh hoạ thôi. Anh xem lại mấy của anh nhé. Cài KAV hay NAV vào nhé. Đám mèo què này bị KAV trên máy em chụp cổ rồi.

Trong thời buổi loạn lạc, tây tàu lẫn lộn, Thạch Sanh, Lục Vân Tiên thì ít, Lý Thông, Bùi Kiệm thì nhiều này, em mong bà con cẩn thận với đám virus của tụi STL hay của bấy kỳ nhóm nào nữa.

Không khéo tụi nó xách mã tấu đi xã Thạch Sanh, Lục Vân Tiên như anh hiệp sĩ gì đó nữa thì khốn.

Em thì biết thêm trang mới: vinude.com. Hì hì, khuya đợi gấu ngủ rồi vào đây rữa mắt. Đi công trình mắt bụi bặm quá.

**nguoibatcao** · 08-07-2011, 10:13 PM

Vì các scan_xxx.scr đều na ná như nhau, code dùng chung các lib, nên em chỉ up lên file đã unpack và deobfuscated của Scan_000.scr cùng source C# của nó mà Reflector sinh ra, cộng các file text chứa encode data mà các file .scr này dùng. Bà con cứ từ từ ngâm cứu nhé.

http://www.mediafire.com/?2gcut66x3knouuc

Sẵn đây em có câu hỏi cho các anh em Reverser chính đạo nè, vào giải rồi post lên luôn để giúp các bà con khác: Các file .txt, .ovr đó là gì ? Làm sao em có, có phải là nguyên bản khi extract ra không, hay phải extract ra dựa trên key gì ?

Mấy anh STL đừng buồn nhé, mấy con "meo què" của mấy anh em chỉ để trong thư mục %Temp% tức C:\Temp của máy em thôi. Chưa đủ để em mang qua các project RCE lớn ở E, F của máy em. Vd như RCE Windows XP SP3 kernel và user mode chẵng hạn. Em buồn buồn thì clean một phát, xong C:\Temp

Bên đó còn thằng core dao360.dll.mui mà. Tụi STL đặt tên là Đao 360 đấy, kinh không ? Còn đám Vecebot của tụi nó nữa mà. Bát ngát, đọc không hết đâu.

Nhưng mà em buồn là RCE đám "meo que" này làm mất thời gian của em quá, bỏ thì không được, vương thì mệt, chả mang lại đồng cắc bạc nào hết. Đang RCE, "rau" nó réo cũng phải lựa lời từ chối: anh đang bận, anh có công việc đột xuất

À mà quên chứ, Scan_Page.scr còn bày đặt dùng FTP để up nữa chứ. Vài thông tin về FTP server ftp.drivehq.com của nó đây:

Code:

Domain name: drivehq.com

Registrant Contact:
John Zhang
Drive Headquarters, Inc.
830 Stewart Dr.
Sunnyvale
CA, 94085 US
+1.4085385311
<a href="mailto:contact @drivehq.com">contac t@drivehq.com</a>

Administrative Contact:
John Zhang
Drive Headquarters, Inc.
830 Stewart Dr.
Sunnyvale
CA, 94085 US
+1.4085385311
<a href="mailto:contact @drivehq.com">contac t@drivehq.com</a>

Technical Contact:
John Zhang
Drive Headquarters, Inc.
830 Stewart Dr.
Sunnyvale
CA, 94085 US
+1.4085385311
<a href="mailto:contact @drivehq.com">contac t@drivehq.com</a>

Update date: 2011-03-17
Expiration date: 2016-03-09

Code:

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=66...&showARIN=true
#

# start

NetRange: 66.0.0.0 - 66.255.255.255
CIDR: 66.0.0.0/8
OriginAS:
NetName: NET66
NetHandle: NET-66-0-0-0-0
Parent:
NetType: Allocated to ARIN
RegDate: 2000-07-01
Updated: 2010-06-30
Ref: http://whois.arin.net/rest/net/NET-66-0-0-0-0

OrgName: American Registry for Internet Numbers
OrgId: ARIN
Address: 3635 Concorde Parkway
Address: Suite 200
City: Chantilly
StateProv: VA
PostalCode: 20151
Country: US
RegDate: 1997-12-22
Updated: 2011-03-19
Comment: For abuse issues please see URL:
Comment: http://www.arin.net/abuse.html
Comment: The Registration Services Help Desk is open
Comment: from 7 a.m. to 7 p.m., U.S. Eastern time to assist you.
Comment: Phone Number: (703) 227-0660; Fax Number: (703) 227-0676.
Ref: http://whois.arin.net/rest/org/ARIN

OrgTechHandle: ARIN-HOSTMASTER
OrgTechName: Registration Services Department
OrgTechPhone: +1-703-227-0660
OrgTechEmail: <a href="mailto:hostmas ter@arin.net">hostma ster@arin.net</a>
OrgTechRef: http://whois.arin.net/rest/poc/ARIN-HOSTMASTER

OrgNOCHandle: ARINN-ARIN
OrgNOCName: ARIN NOC
OrgNOCPhone: +1-703-227-9840
OrgNOCEmail: <a href="mailto:noc@ari n.net">noc@arin.net</a>
OrgNOCRef: http://whois.arin.net/rest/poc/ARINN-ARIN

# end

# start

NetRange: 66.220.0.0 - 66.220.31.255
CIDR: 66.220.0.0/19
OriginAS: AS6939
NetName: HURRICANE-3
NetHandle: NET-66-220-0-0-1
Parent: NET-66-0-0-0-0
NetType: Direct Allocation
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 2002-01-17
Updated: 2008-10-10
Ref: http://whois.arin.net/rest/net/NET-66-220-0-0-1

OrgName: Hurricane Electric, Inc.
OrgId: HURC
Address: 760 Mission Court
City: Fremont
StateProv: CA
PostalCode: 94539
Country: US
RegDate:
Updated: 2011-04-13
Ref: http://whois.arin.net/rest/org/HURC

ReferralServer: rwhois://rwhois.he.net:4321

OrgAbuseHandle: ABUSE1036-ARIN
OrgAbuseName: Abuse Department
OrgAbusePhone: +1-510-580-4100
OrgAbuseEmail: <a href="mailto:abuse@h e.net">abuse@he.net</a>
OrgAbuseRef: http://whois.arin.net/rest/poc/ABUSE1036-ARIN

OrgTechHandle: ZH17-ARIN
OrgTechName: Hurricane Electric
OrgTechPhone: +1-510-580-4100
OrgTechEmail: <a href="mailto:hostmas ter@he.net">hostmast er@he.net</a>
OrgTechRef: http://whois.arin.net/rest/poc/ZH17-ARIN

RTechHandle: ZH17-ARIN
RTechName: Hurricane Electric
RTechPhone: +1-510-580-4100
RTechEmail: <a href="mailto:hostmas ter@he.net">hostmast er@he.net</a>
RTechRef: http://whois.arin.net/rest/poc/ZH17-ARIN

RAbuseHandle: ABUSE1036-ARIN
RAbuseName: Abuse Department
RAbusePhone: +1-510-580-4100
RAbuseEmail: <a href="mailto:abuse@h e.net">abuse@he.net</a>
RAbuseRef: http://whois.arin.net/rest/poc/ABUSE1036-ARIN

RNOCHandle: ZH17-ARIN
RNOCName: Hurricane Electric
RNOCPhone: +1-510-580-4100
RNOCEmail: <a href="mailto:hostmas ter@he.net">hostmast er@he.net</a>
RNOCRef: http://whois.arin.net/rest/poc/ZH17-ARIN

# end

# start

NetRange: 66.220.9.32 - 66.220.9.63
CIDR: 66.220.9.32/27
OriginAS:
NetName: HURRICANE-CE1103-5554
NetHandle: NET-66-220-9-32-1
Parent: NET-66-220-0-0-1
NetType: Reassigned
RegDate: 2008-03-25
Updated: 2008-03-25
Ref: http://whois.arin.net/rest/net/NET-66-220-9-32-1

OrgName: LaFrance Internet Services, Inc.
OrgId: LIS-76
Address: 11230 Gold Express Dr #310-313
City: Gold River
StateProv: CA
PostalCode: 96570
Country: US
RegDate: 2008-03-25
Updated: 2010-06-03
Ref: http://whois.arin.net/rest/org/LIS-76

OrgTechHandle: NETWO2704-ARIN
OrgTechName: Network Operations
OrgTechPhone: +1-916-265-1568
OrgTechEmail: <a href="mailto:admin@l iscolo.com">admin@li scolo.com</a>
OrgTechRef: http://whois.arin.net/rest/poc/NETWO2704-ARIN

OrgAbuseHandle: NETWO2704-ARIN
OrgAbuseName: Network Operations
OrgAbusePhone: +1-916-265-1568
OrgAbuseEmail: <a href="mailto:admin@l iscolo.com">admin@li scolo.com</a>
OrgAbuseRef: http://whois.arin.net/rest/poc/NETWO2704-ARIN

# end

#
# ARIN WHOIS data and services are subject to the Terms of Use
# av

Nhưng buồn một cái là code FTP này còn bị lỗi, nên nó không hoạt động được. Em đố bà con nó bị lỗi gì ???

**nguoibatcao** · 08-07-2011, 10:24 PM

Với các thông tin này, cậu tohoangvu nếu bị FBI chụp thì đừng trách em nhé. Cậu đang tấn công vào chính tài sản IT của US đấy. Nếu FBI nhận được thông tin của em, qua VN ta, yêu cầu tìm ra mấy thằng nhóc STL như cậu thì cậu chỉ có con đường chết nhé. Chính phủ VN ta bảo kê được cho cậu không, hay sắn sàng thí mấy con tốt nhép như cậu ? Hảy sáng mắt ra, đừng cuồng tín chế độ quá như vậy.

À mà quên, bất cứ con mèo què nào mà em chụp được, có xài Gmail thì password nguyên thuỷ của em sau khi login vào đó và đổi pass là: thăng cha mày xxx... Cố đoán cái xxx là gì nhé.

Anh em STL có tức không, có tức thì em xin lỗi nhé.

Sẵn tiện em share luôn password của hộp mail tuonglaivietnam2015@ gmail.com luôn: thangchamaystl

Bà con nào vô xem được thì vô, cấm táy máy, lấy mấy thông tin nhạy cảm trong đó đi làm chuyện bậy bạ nhé.

Chủ nhân hộp mail này có tạo thêm một Wordpress Blog khác: anhbalang.wordpress. com, chỉ có 2 bài.

Danh sách các contact của chủ nhân hộp mail này em đã export ra và lưu lại.

Các IP vừa login vào hộp mail này:

Code:

Thụy Sĩ (46.19.138.242)
Việt Nam (123.21.140.237) 08:10 (9 phút trước)
Đức (68.169.35.41) 05:22 (2,5 giờ trước)
Việt Nam (222.252.130.102) 22:59 (9 giờ trước) .
192.251.226.206 07 / 7 (14 giờ trước)
Hoa Kỳ (74.120.12.135) 07 / 7 (14 giờ trước)

Tới bây giờ, em đoán là chủ nhân của hộp mail này là chị Hương Giang, là chủ nhân của cả 2 blog anhbalang và chibasam. Nhưng hôp mail này đã bị thành viên STL ToHoangVu, số đt: 093206026x chiếm đoạt rồi dùng nó làm nơi nhận data, info của victims gởi về. Có lẽ chị bị mất hồi tháng 10-2010, thời điểm STL đang hoành hoành. Nếu chị Huong Giang cần lấy lại hộp mail và các blog của chị, chị liên hệ = PM riêng cho em.

À mà quên chứ, sẵn tiện em hỏi luôn, topic về RCE x84 của em lập ai xoá mất tiêu rồi vậy. Em tính post thêm vài "meo què" của STL build ở mode x64 nhằm và Vista và Win7 64bit mà ?

Dòng virus này theo anh conmale là keylog / trojan Emissary. Và chắc là nó, vì file .exe của nó nguyên bản lúc đầu là EmiStub.exe
Vài thông tin của Scan_000.scr:

Toàn bộ thông tin và cách thức hoạt động của con này được mã hoá và giấu trong RT_RCDATA, key để phân tách các string là kjshsjfhskdjfxz. TripleDES để encode rồi Base64 encode lần nữa.

Các con này được coder của STL build với Visual Studio 2005, ngày build trên hình.

À mà quên chứ, em đùa với anh em đấy, có pwd của hộp mail Google đó, các bác cũng không login vào được đâu, lại còn để IP lại đấy.

Hì hì, người bạn của em lại vừa gởi cho em một mẫu mới nữa của đám STL này. Mạo danh là file .doc. Viết = VC++ 2010. Anh em đợi em vài ngày. Em sẽ post kết quả "rờ c... em" lên.

File này hơi bị mới, build vào ngày 12-05-2011, 10h sáng. Đính kèm trong ruột (resource) của nó một đống "méo què" nữa.

Ai chà chà, dùng crypto Bas64, SHA-256 để mã hoá à, lần này lại nhắm vào IE nữa à. Chơi toàn interface của IE không ha ? Tiêu mấy anh STL nữa rồi.

Ặc ặc, lần này code lên tay quá rồi ha, chơi dùng SSL nữa ha:

Code:

Vftable Method count Class & structure info
------- ------------ ----------------------
00436AEC 0001 CKllPrss; [SI]
004374F8 0008 CSHA256: CHash; [SI]
00437900 0001 TBuffer; [SI]
004380F8 0002 CSSLFtp: CSSLSocket; [SI]
004381A4 0002 CSSLHttp: CSSLSocket; [SI]
0043844C 0002 CSSLMail: CSSLSocket; [SI]
00438DB4 0002 CSSLSocket; [SI]
004394B4 0001 CVcRcdXP; [SI]

Copy code của CSSLSocket trên CodeProject phải không, mấy đại ca STL. Không lý mấy cậu có hẳn 1 team được tài trợ để ngồi code "méo què" à ?

CKillProcess thì chịu khó viết đầy đủ ra, coding standard đâu, đặt tên CKllPrss thì đố thằng nào hiểu. Còn CVcRcdXP là gì nữa đây ?

Bày đặt còn call native API của Ntdll.dll để antidebug nữa à. Mấy cái trò này mấy cậu học trong mấy cái article AntiRE, antiunpacking tricks phải không ?

Lần này khá hơn, xài rootkit nữa ha. Vậy là em phải install lại Win cho máy ảo VB của em để remote debug rồi.

Nhưng công nhận mấy anh code VC++ khá lắm đấy ! Nhưng chưa đủ để em đọc không hiểu đâu, vì em code System từ còn thời Win31 lận, thời mấy anh còn ở truồng tắm mưa mà

Mấy cái hàm này em RCE quen quá rồi, nhìn quen mặt luôn. Code của mấy anh là cái chắc, 100%.

Sẵn đây em nói luôn, đã build code ở mode Unicode thì Unicode 100% nhé, đừng lẫn lộn code, call API, C RTL functions cho ANSI, MBCS, UNICODE lung tung như vậy nhé. Mấy anh tìm document về TCHAR mà đọc đi nhé. Hay bữa nào gặp em, em seminar về TCHAR cho. Code vầy là không được đâu !

Lần này em nói trước nhé, mấy anh lo change pass và bảo vệ cái hộp mail và FTP account mà mấy anh đang dùng trong con này đi. Lần này em phá thẳng tay đấy ! Nói một lời thôi. Gmail có bug nên mấy anh login vào được và xoá hết victim's data à ! Lần này em sẽ không share pass nữa đâu nhé !

Vừa chat với Thoai, nghe câu của Thoại: "Thấy mình anh chinh chiến...", em thấy buồn thiệt, một mình em độc diễn, đơn độc. Anh em BKAV, CMC, các anh em RCE khác đâu hết rồi, vào giúp em với chứ !

Hải âu · 09-07-2011, 02:32 AM

Phan Nguyễn Việt Đăng, viết riêng cho RFA từ Sài Gòn
2011-07-08

Từ một cuộc tìm kiếm có vẻ như cũng không mất mấy công phu, một hacker theo đạo Phật, có bí danh là TQN, vừa công bố danh tính của nhân vật có tên là Sinh tử lệnh (hoặc ít nhất là thành viên của nhóm Sinh tử lệnh)

Các nhân vật này là những hacker vẫn theo lệnh của công an Việt Nam tấn công vào các trang nhà của các nhân vật hay nhóm dân chủ trong và ngoài nước. Toàn văn chứng minh về mặt kỹ thuật tin học, đã được TQN giới thiệu trên một diễn đàn của giới tin học-lập trình Việt Nam, tại địa chỉ
http://www.hvaonline.net/hvaonline/posts/list/39504.hva

Trong một giọng điệu châm biếm nhẹ nhàng nhưng thấm đau nhanh, tác giả TQN gọi nhóm Sinh tử lệnh bằng cái tên mới là “Sống chết theo lệnh”.

Mô tả công việc của nhân vật bị vạch mặt này, TQN chỉ rõ đây là một nhân vật thâm hiểm, giả dạng là thành phần yêu dân chủ, xuất hiện với những nick khác nhau, tham gia nhiều diễn đàn và cũng lên tiếng chài mồi bằng cách chửi bới chế độ CS và rũ rê nhiều blogger khác chat riêng để tìm thêm thông tin.

Sau khi gửi các virus vào máy nạn nhân nhằm lấy password, chiếm hộp thư...v.v, Cuối cùng sau khi đã bao vây con mồi, Sinh tử lệnh mở chiến dịch tấn công.

Trong các phần giới thiệu dưới đây, xin được tạm gọi tắt nhân vật bị lộ diện là Sinh tử lệnh, mặc dù nhóm này được dự đoán là có thể lên đến 3 người.

Sinh tử lệnh là ai?

Tất cả đã được bạch hóa đến mức khó ngờ. Tên thật của Sinh tử lệnh là Tuấn, sinh năm 1978 tại Quảng Nam. Y từng học qua trường THPT Hoàng Diệu tại Quảng Nam. Lên mạng, Tuấn có nick là tohoangvu.

Tuấn hiện đang sống tại P.5 Quận 8, Saigon và làm việc ở Quận 1 dưới vỏ bọc là một nhà thiết kế. Số điện thoại liên lạc của Tuấn hiện nay, cho đến giờ phút này là 0932.060.268.

Hộp thư chính để liên lạc cũng như để làm công việc thu lượm thông tin tấn công các nạn nhân, có địa chỉ là socidemo@yahoo.com.a u.
Tuấn kết hôn năm 2005 với một phụ nữ tên là Phan Thị Minh Thư, năm 2006 có đứa con gái đầu tiên, biệt danh là Chip.
Tuấn hiện đang sống tại P.5 Quận 8, Saigon và làm việc ở Quận 1 dưới vỏ bọc là một nhà thiết kế.
Từ cách thức của nhân vật bị lộ diện này, cho thấy, các nick xuất hiện trên mạng hay có đồng ý kiến nhưng cũng mang giọng điệu chửi bới cực đoan, rất có thể là công an mạng.

Vì vậy, thận trong trong giao tiếp cho phép chat riêng và gửi mang kèm file... là những điều cần phải xét lại với những ai có chính kiến trên mạng.

Tác giả TQN có khuyến cáo, cũng như nhiều chuyên viên tin học khác, rằng máy tính muốn thoát khỏi các vụ theo dõi, cướp hộp thư, blog... tốt nhất là nên hay thay đổi password, luôn cập nhật các chương trình rà soát virus trong máy.

Thậm chí nếu cảm thấy không an tâm, cũng nên thay mới, cài lại các chương trình gõ chữ Việt, vốn có thể nhiễm virus và ghi lại các mật mã, chuyển tập tin đó cho các hacker của công an mạng.

Sinh tử lệnh đã làm gì?

Rất nhiều người cho rằng nhóm Sinh Tử lệnh này nằm dưới quyền của ông Lê Mạnh Hà, Giám đốc Sở Thông Tin Truyền Thông Saigon, có biệt hiệu là “thái tử”, vì ông ta vốn là con trai của nhà lãnh đạo cấp cao đầy quyền lực trong bóng tối, Lê Đức Anh.

Một trong những hoạt động phôi thai nhưng không kém phần hiểm ác của nhóm này, được biết là vụ gài và bắt nhà dân chủ Trần Huỳnh Duy Thức vào năm 2009...

Sau đó, nhóm Sinh tử lệnh đã hoạt động ráo riết theo phương châm được mỉa mai là “Sống chết theo lệnh” để tấn công vô số các trang blog, vốn có từ giai đoạn giới đấu tranh trong nước hay sử dụng Yahoo 360 độ và Multiply, trước giai đoạn chuyển sang Facebook.
Các trang tin tức như Bauxite Việt Nam, Ba Sàm... cho đến hàng chục các trang blog khác cũng đã bị nhóm Sinh Tử Lệnh tấn công, phổ biến bằng phương thức DDos, nhằm bịt đi các ngôn luận và thông tin chỉ trích chính phủ.

Nhóm này suốt một thòi gian dài là nỗi lo ngại cũng như khinh bỉ của nhiều blogger.
Một trong những hoạt động cuối cùng của Tuấn / tức nick tohoangvu là chiếm hộp thư và blog của một người tên Hương Giang. Đây là một người đấu tranh độc lập trên mạng, sở hữu cùng một lúc 2 trang blog là chibasam.blogspot.co m và trang anhbalang.wordpress. com.

Sau khi chiếm hộp thư của (chị) Hương Giang, có tên là tuonglaivietnam2015@ gmail.com, nhân vật Tuấn / tohoangvu này tiếp tục sục sạo và tìm kiếm thêm các nạn nhân mới.

Khi bị tác giả TQN tấn công, chiếm lại hộp thư này, người ta nhìn thấy ngoài địa chỉ thư chính của Tuấn, còn có thêm 2 nhân vật khác khả nghi là toquocghicong1@gmail .com và tralomitu676@yahoo.c om. Đây có thể là những email khác của Tuấn / tohoangvu, nhưng cũng rất có thể là 2 thành viên khác của nhóm “Sống chết theo lệnh”.
Tuấn / tohoangvu đã lộ mặt, và có lẽ y cũng sẽ sớm thay đối để dấu mình. Tuy nhiên sự kiện này cho thấy trong cuộc đấu trí của người yêu nước với công an CSVN thi rõ là “núi cao còn có núi cao hơn”.

Và đã đến lúc chính những kẻ chuyên ném đá dấu tay hèn hạ trên mạng theo lệnh công an, cũng học được bài biết sợ hãi ánh sáng là như thế nào.

(Phan Nguyễn Việt Đăng, Sài Gòn 08/07/2011)

**nguoibatcao** · 09-07-2011, 05:43 AM

TIẾP TUC CUỘC CHIẾN VỚI SINH TỬ LỆNH

. STL coder dự tính dùng cả 2 cách để gởi thông tin của victim về, = Gmail và bằng FTP. Nhưng cu coder này lại chưa có FTP server riêng nên lấy đại cái drivehq để test. Thấy không ổn, cu này nhảy qua dùng Gmail, nhưng string drivehq lại không xoá và code dùng FTP vẫn còn. Cu cậu ta chỉ set dùng Gmail lên True, FTP xuống false là xong.

Tối nay, em google thấy 1 loạt các blog, trang mạng ở nước ngoài đăng tin về topic này, vd:http://www.rfa.org/vietnamese/in_dep...011100751.html

RFA khẳng định tohoangvu là thành viên của STL.

Cái này thì em không đồng ý, em xin đính chính là xuyên suốt topic này, em chỉ nghi vấn tohoangvu thôi.

Thế các anh có nghĩ là, nếu tohoangvu cũng là victim của STL thì sao, bị STL ăn cắp hộp mail thì sao. Không không vu oan giá hoạ cho người ta, đăng thông tin, hình ảnh của người ta "chình ình" lên đấy thì mang tội chết, làm sao người ta còn làm ăn, nuôi sống vợ con ???

Trong cái contact list của tuonglaivietnam2015@ gmail.com, ngoài 2 cái toquocghicong với tralomituxxx gì đó, các mail address khác trong 20 most contact list đều đa số của những người ở nước ngoài, những người "lề trái".

Đám STL này thường giả danh những người lề trái, trà trộn vào người Viêt hải ngoại và trong nước, gởi mail có đính kèm malware cho nạn nhân, giả dạng cũng là "lề trái", bất đồng, nói xấu chế độ. Các bạn xem hình minh hoạ sẽ thấy.

Cảm ơn bạn TQN đã "một mình một ngựa" chiến đấu với STL. Mình gửi một đoạn mã Python nhỏ để giải mã mấy chuỗi mà bạn TQN tìm ra gọi là "góp vui":

Code:

>>>import base64
>>>from Crypto.Cipher import DES3 # pycrypto
>>>key = '\x01\x02\x03\x04\x0 5\x06\x07\x08\x09\x0 a\x0b\x0c\x0d\x0e\x0 f\x10\x11\x12\x13\x1 4\x15\x16\x17\x18'
>>>iv = chr(0xff) + chr(70) + chr(60) + chr(50) + chr(40) + chr(30) + chr(20) + chr(10)
>>>mode = 2 # CBC
>>>data = ['cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5 NB5h64=', 'oNIx2zknAa67WFSorZQ v/Q==', 'slIbnSGRCPPsJeFM/jPcYQ==']
>>>for i in data:
... print DES3.new(key, mode, iv).decrypt(base64.b 64decode(i))
...
tuonglaivietnam2015 @ gmail.com
=-09876yuiop[]
smtp.gmail.com

Cảm ơn bạn _bob đã vào góp vui. Bạn post đoạn code đó sớm sớm thì em khỏi mất công ngồi mày mò với cái Sì Sáp rồi

Đây bà con, con malware mới nhất, còn nóng hổi của STL đây (nhưng mà vào tay em thì thành "mèo què" mất thôi).

http://www.mediafire.com/?v8fqsi8cxs0e4bf

KIS mới nhất của em không phát hiện được. VirusTotal cũng không, chỉ là ngi vấn.

Kết quả của VirusTotal: http://www.virustotal.com/file-scan/...ce0-1310128288

Kết quả của CWSandbox: http://www.sunbeltsecurity.com/cwsan...D8E58182ED6235

Cảnh báo trước các bạn, con này rất nguy hiểm, em chỉ mới nhận được tối nay, chưa phân tích xong. Nên phân tích nó trên máy ảo. Cấm dblclick.

**nguoibatcao** · 09-07-2011, 05:45 AM

Chat vơi anh D, vào thử hộp mail tuonglaivietnam2015, thấy hoảng hồn, trống rỗng.

Quái, làm sao mà tụi nó login vào được mà xoá sạch dấu vết cả (IP của thằng đó em đã up lên). Mình share password cho vui, nhưng dùng cơ chế login SMS mà, phải có đt của mình chứ.

Nói chuyện với anh D, cứ nghĩ là bug của Google, tức tụi nó login vào Gmail bằng một account #, củng dùng SMS luôn, logout ra, login liền vào tuonglaivietnam2015.

Nhưng tối giờ kiểm tra lại, thì không phải. Sorry bà con, em sơ ý và dốt quá. Cái nick Huong Giang với account tuonglaivietnam2010 đấy, lúc trước thằng STL này share account. Em vô tình không xoá nó đi. Thằng STL login bằng account này, vào xoá sạch hết rồi. Nhưng nó không xoá được contact list, change lại password, xoá lịch sử dò tìm trên Google của nó.

Vậy lần này chắc chắn tuonglaivietnam2010 đích thị là STL rồi, IP ở trên: 123.21.140.237.

Google về mail account này thì không thấy có gì cả.