Cảnh báo về việc một số người lợi dụng file game jx phát tán virus

[BladeKnight109]

Bài viết này có thể không đúng box nhưng mong các bạn mod cho mình để vài ngày rồi move bài đi cũng được.

Chào mọi người, đáng lý mình không đăng bài này nhưng cảm thấy cần phải cảnh báo mọi người.
Tình hình là tự dưng hôm nay ngủ dậy có 1 thanh niên tên là Mr. Hoàng PM telegram mình và hỏi domain xxxx có phải đang dùng anti của mình hay không. Mình bảo phải và bạn đó nói mình phát tán virus cài spy ăn cắp thông tin dữ liệu vào file game.exe và quăng cho mình 1 cái ip và nói sẽ tìm mình tính sổ như trong đoạn chat ở hình dưới Mình có truy cái ip đó ra thì ip đó thuộc ip của 123host.vn ([Only registered and activated users can see links. ])

Hình đoạn chat:

Hình 1:
[Only registered and activated users can see links. ]

Hình 2:
[Only registered and activated users can see links. ]

Hình 3:
[Only registered and activated users can see links. ]

Hình 4:
[Only registered and activated users can see links. ]

[Only registered and activated users can see links. ]

- Mình thì không quan tâm đến mấy cái vụ này vì trước giờ mình bị nhiều lần rồi, hết nói mình là mr.phát (Phát JX chuyên đi phá dump s3relay, dis client), khánh đen, khánh trắng (chuyên đi phá dump thu bảo kê), đi dump jx thu bảo kê, dump jx bán anti... thậm chí có cả người giả danh lập nick ảo, facebook ảo, cả trang web ảo mạo danh mình đi lừa đảo, lấy thông tin ngân hàng của mình đi nói mình là người phá trong khi tất cả thông tin của mình đều public cả nên mình cũng quen rồi, toàn những việc mình không làm nhưng đâu đâu lại đổ lên mình, mình là người gánh chịu hậu quả cho những thành phần nào đó, có thể ghen ghét hoặc vì 1 lý do cá nhân nào đó. Mình trước giờ không tham gia các mạng xã hội cũng không quảng cáo, tất cả những người thuê anti đều qua sự quen biết hoặc giới thiệu. Và file game mình cấp cho người thuê là file game gốc được hook 1 dll để fix lỗi và thêm tính năng, file game này không pack đối với bản v2 của mình. còn việc người thuê dùng file game của mình với mục đích gì thì mình ko thể quản lý được.

- Sau khi nhận được tin nhắn của thanh niên trên, mình đã liên hệ người thuê anti cho domain đó và có kêu kiểm tra lại file. Mình có tải file path game về và phát hiện 1 sự thật bất ngờ. Cụ thể như sau:
- File patch sau khi mình tải về từ web của domain đó giải nén ra (chưa chạy autoupdate) thì đúng là file game của mình cấp (bản cũ), nhưng sau khi chạy autoupdate thì nó tải 1 file game.exe khác về và mình để ý file này có dung lượng và ngày giờ khác file mình đã cấp.
- Tiến hành phân tích file game.exe được autoupdate tải về được kết quả như sau:

Hình 5: file game.exe được tải từ autoupdate không hề có thông tin về file

[Only registered and activated users can see links. ]

Hình 6: Các section của file đã bị thay đổi

[Only registered and activated users can see links. ]

Hình 7: Các thư viện mặc định được load trong file game cũng chỉ còn 2 thư viện. Thư viện shell32.dll kia mục đích sẽ sử dụng nó để thực thi chạy 1 file nào đó

[Only registered and activated users can see links. ]

Hình 8: Và sau khi phân tích đến phần resource, thì mình thấy file game này hoàn toàn ko phải file game võ lâm truyền kỳ, file này là 1 file giả, được embeded file game.exe (file game của võ lâm truyền kỳ 1) và 1 file ism.exe (File virus, botnet, backdoor....) vào resource. Mục đích của kẻ phát tán này sẽ chạy file ism.exe cài vào máy của người chơi, sau đó sẽ chạy file game thực được nén trong resource.

[Only registered and activated users can see links. ]

Tiếp đến mình đã export 2 file này và phân tích file game.exe được export từ resource đúng là file game của võ lâm

Hình 9:

[Only registered and activated users can see links. ]

Hình 10: Và file ism.exe là 1 file virus được viết bằng ngôn ngữ .NET và được obfuscator source code để nhằm che giấu các biến, function... nhưng thực chất vẫn decode và đọc được. Đáng ngờ hơn là file này còn giả thông tin của microsoft, nếu người dùng máy tính bình thường khó mà phát hiện ra được.

[Only registered and activated users can see links. ]

- Tiếp đến mình đã decode file ism.exe ra và khá là bất ngờ

Hình 11:

[Only registered and activated users can see links. ]

Hình 12:

[Only registered and activated users can see links. ]

Hình 13:

[Only registered and activated users can see links. ]

Hình 14: Chạy file game.exe đó nó sẽ export 2 file game.exe (thật) và ism.exe vào thư mục temp của user

[Only registered and activated users can see links. ]

- File này nó sẽ create 1 task vào task library của hệ thống win, task này sẽ được chạy khi người chơi khởi động máy vào win. và tiếp đó có 1 đoạn code có sử dụng 1 lệnh trong cmd xóa file. Ngoài ra file này còn có kết nối đến 1 máy chủ nhằm gửi dữ liệu về, có thể lấy tất cả thông tin của máy người chơi đã bị nhiễm con virus này.

Hình 15: Tiếp tục phân tích và mình code 1 tool Decrypt 1 số string được mã hóa khai báo trong file ism.exe thì phát hiện ip server điều khiển bot đúng là ip trong đoạn chat bạn kia gửi 61.14.233.88 và port điều khiển là 6606, 7707, 8808

[Only registered and activated users can see links. ]
[Only registered and activated users can see links. ]
[Only registered and activated users can see links. ]
[Only registered and activated users can see links. ]
[Only registered and activated users can see links. ]

- Trước mắt mình không có thời gian phân tích, nhưng nhìn sơ bộ thì người này mục đích nhắm vào game võ lâm truyền kỳ, và đây là nhắm vào mình.
- Qua phân tích trên thì có các khả năng sau:
+ 1. File autoupdate.exe mà domain đó sử dụng có cài hàng hoặc đã bị nhiễm virus từ trước khi tạo patch cho người chơi tải về
+ 2. File game trên server autoupdate đã bị thay thế (Có thể đã bị hack máy chủ hoặc host update và đối tượng này đã up file game khác lên host update này mà người chủ domain đó ko hay biết)

- Mình đăng bài này cảnh báo đến các bạn đang dùng anti của mình hay của bên khác hay không dùng anti đang chạy game võ lâm hoặc các game khác hãy kiểm tra lại file game của mình để tránh tình trạng phát tán virus, làm zombie botnet cho 1 số đối tượng cũng như ảnh hưởng uy tín của các bạn.
- Mình không nhắm vào bất kì tổ chức cá nhân nào hay thù ghét ai mà đăng bài này, nói thật thì hay bị ghét nhưng mình thấy bất bình với việc làm của 1 số đối tượng làm ảnh hưởng đến người khác.
- Mình sẽ không đính kèm file game cũng như file ism.exe virus lên đây để đề phòng 1 số cá nhân dùng vào với mục dích xấu và cổ xúy cho hành động này
- Nếu các bạn thấy trong tiến trình task manager có ism.exe đang chạy hoặc trong task library có task lạ thực thi file khi logon thì nên xóa task, file và tải antivirus về quét toàn bộ hoặc cài lại hệ điều hành

==============UPDATE====================

- Một số người hỏi về cách gỡ con ism.exe này hoặc svchost.exe, wininit.exe và cũng nói tại sao không hướng dẫn luôn cách gỡ, thì mình cũng đã nói ở trên, là dùng unhackme để quét và gỡ sau đó restart lại máy. tiến hành tải lại game thật
- Link trang chủ phần mềm Unhackme: [Only registered and activated users can see links. ] cho bạn nào cần dùng khi bị dính 1 số phần mềm, virus, backdoor, botnet, mình thấy tool này rất hay. Chỉ cần bản miễn phí thôi là đủ để diệt mấy con này.
- Nếu bạn là người chơi thì liên hệ chủ server bạn chơi kiểm tra lại path game. Còn nếu bạn là người tạo server cho người khác chơi thì liên hệ người cung cấp patch game cho bạn. Bản thân file game ở bản linux 6.0 thì chỉ có 1, mà nó bị 1 số thành phần xấu biến tấu nó thành nhiều cái với nhiều mục đích.
- Cũng có người nói "Bị người ta tố cáo xong thanh niên lại đi build lại cái không có vào ngày 14 post lên. sao k show bản source trước ngày 14" mình xin trả lời là nếu có source game thì jxlinux không dừng lại ở 6.0 mà mình còn có thể mod lên được ver cao hơn, fix lỗi kèm tính năng mới thẳng trong source làm quái gì tôi phải mất thời gian đi mò offset rồi viết lại.
- Còn nếu đổi lại là mình mà đi phát tán virus, bonet, trojain thì mình không có ngu mà đi viết = ngôn ngữ .net để cho người khác decode ra 1 cách dễ dàng như vậy, và cũng không rảnh mà đi làm cái kiểu embeded vào resource làm gì cho rườm rà. Và mình cũng không có rảnh mà đi làm ba cái trò dơ bẩn như vậy, lương tâm mình không cho phép, trước giờ mình sống ẩn ít giao du với ai, và cũng không đụng chạm với bất kì ai mà cứ bị một số thành phần ghen ăn tức ở nhắm vào.

- Về phía domain trên thì mình đã liên hệ chủ domain và kiểm tra, chủ domain đó cũng xác nhận là trước đó đã up file game của mình gửi kèm khi thuê anti lên nhưng không hiểu sao nó lại bị thay thế bằng file game giả mạo. Từ đây có thể khẳng định phần lưu trữ file autoupdate của chủ domain đó đã bị ai đó vào và up lên file game giả.

[Only registered and activated users can see links. ]

Hình ảnh về file game bản V1 và V2 mình cung cấp

- V1 Có 3 file: game_y.exe (file gốc được hook client.dll), game_y_block_virtual_machine.exe (file game gốc được hook client.dll và khóa không cho chạy trên máy ảo), game_y_run_as_administrator.exe (file game gốc được hook client.dll và thêm mainifest run = admin)

[Only registered and activated users can see links. ]

1. game_y.exe (file gốc được hook client.dll)
[Only registered and activated users can see links. ]

2. game_y_block_virtual_machine.exe (file game gốc được hook client.dll và khóa không cho chạy trên máy ảo)
[Only registered and activated users can see links. ]

3. game_y_run_as_administrator.exe (file game gốc được hook client.dll và thêm mainifest run = admin)
[Only registered and activated users can see links. ]

- Cả 3 file trên là bản V1 đều được mình pack = The Enigma Protector và thông tin file kèm mã SHA-1, md5 như ở hình

4. Còn đây là file game_y phiên bản V2 hoàn toàn không pack và chỉ được hook file Client.dll

[Only registered and activated users can see links. ]

- Các bạn có thể dùng Explorer Suite ([Only registered and activated users can see links. ]) để xem thông tin SHA-1 và MD5 file game hiện tại ở patch game. Ai đang sử dụng anti của mình mà mã checksum không khớp với 4 file ở trên có thể liên hệ mình qua tele hoặc skype để cấp lại
- Ngoài ra, ai cần file game gốc bản 6.0 (Võ Lâm Bí Sử) thì liên hệ mình gửi.

[Only registered and activated users can see links. ]

Telegram: [Only registered and activated users can see links. ]
Skype: [Only registered and activated users can see links. ]

Các bạn nhấn vào link trên sẽ vào đúng vào telegram và skype của mình, đừng tìm trên công cụ tìm kiếm vì mình biết có nhiều thành phần giả danh mình lắm

[lovesick00]

thanks bác . ESET có bản cho window server 2008 các bác nên cài trước đỡ nhiều đó
[Only registered and activated users can see links. ]

[BladeKnight109]

thanks bác . ESET có bản cho window server 2008 các bác nên cài trước đỡ nhiều đó
[Only registered and activated users can see links. ]

Bản thân mình không bị, nhưng khách thuê anti bên mình bị dính và không hay biết, dẫn đến thanh niên trên ko biết sự việc thế nào lại nghĩ mình là người phát tán con ism.exe này nên phát ngôn như thế thôi. Mình đăng lên đây để cảnh giác mọi người trước những thành phần sử dụng file game cấy virus, botnet nhằm mục đích đánh cắp thông tin người dùng và các mục đích khác. Vì bản thân mình không làm các việc này, nhưng mình là người gánh hậu quả cho những việc mà mình không làm và đây không phải lần đầu mình bị kiểu như thế này, nhưng lần này mình thấy vấn đề có vẻ nghiêm trọng nên mình mới đăng bài này. Mình cũng đã có email với bên 123host.vn rồi. Nếu thằng chủ con bot kia đọc dc bài này thế nào nó cũng đổi ip khác hoặc phát tán dưới hình thức khác.

[lovesick00]

e mới qua võ lâmnnghịch mà có thấy gặp vấn đề tương tự thì phải . đang xem đúng ko sẽ post bài có vài thanh niên và người liên quan cho mọi người né .

[Learning]

mình đã từng dính vụ này từ lâu rồi cũng con bot như thế decode ra mã nguồn như thế.
và mình biết thằng làm ra nó. ko phải là bladeknight109, Trình của bạn đéo thể nuôi mấy cái loại bot giẻ rách code = C# này đc.
Nếu bạn nuôi thì phải tầm cỡ khác rồi.

[DungT]

sợ vãi
nếu thế thì sao dám tải mấy file game.exe share về chơi nữa

[BladeKnight109]

sợ vãi
nếu thế thì sao dám tải mấy file game.exe share về chơi nữa

cái này chỉ là 1 trong những con nó phát tán, ngoài ra còn con giả file svchost.exe và wininit.exe của hệ thống, có con nó giả theme của hệ thống, thường mấy con này hay dính ở win 7. đặc điểm nhận biết là tên file y chang như tên hệ thống nhưng thư mục chứa mấy cái file đó lại ko phải trong system32 mà nó nằm ở thư mục khác, bật task manager lên nếu thấy tên file trên có kèm *32 ở sau thì nên kiểm tra đường dẫn thư mục chứa file đó có phải c:/window/system32 hay ko, ko phải thì chắc chắn 100% dính. Ngoài ra có thể sử dụng unhackme để loại bỏ nó.
trang chủ unhackme: [Only registered and activated users can see links. ]

Một điểm chung của các con bot và virus trên hầu như mình đều thấy nó đều lây qua file game jx1, jx2 hoặc autoupdate. chứng tỏ người phát tán các con này nhắm vào người chơi mấy thể loại game này.

[DungT]

cái này chỉ là 1 trong những con nó phát tán, ngoài ra còn con giả file svchost.exe và wininit.exe của hệ thống, có con nó giả theme của hệ thống, thường mấy con này hay dính ở win 7. đặc điểm nhận biết là tên file y chang như tên hệ thống nhưng thư mục chứa mấy cái file đó lại ko phải trong system32 mà nó nằm ở thư mục khác, bật task manager lên nếu thấy tên file trên có kèm *32 ở sau thì nên kiểm tra đường dẫn thư mục chứa file đó có phải c:/window/system32 hay ko, ko phải thì chắc chắn 100% dính. Ngoài ra có thể sử dụng unhackme để loại bỏ nó.
trang chủ unhackme: [Only registered and activated users can see links. ]

Một điểm chung của các con bot và virus trên hầu như mình đều thấy nó đều lây qua file game jx1, jx2 hoặc autoupdate. chứng tỏ người phát tán các con này nhắm vào người chơi mấy thể loại game này.

vậy có cách nào tiêu diệt hết được mấy thế loại ác ôn con ngan con này không bác

[BladeKnight109]

vậy có cách nào tiêu diệt hết được mấy thế loại ác ôn con ngan con này không bác

dùng unhackme có thể gỡ bỏ nó hoàn toàn ra khỏi máy đó bạn.

[banynavy]

dùng unhackme có thể gỡ bỏ nó hoàn toàn ra khỏi máy đó bạn.

đang dùng ko xung đột game a,e cứ yên tâm nhé