Xem mẫu
- Mô tả về mẫu P2P-Worm.Win32.BlackControl.g
Với tên gọi P2P Worm – chúng chủ yếu lây lan qua mô hình chia sẻ
mạng ngang hàng (như Kazaa, Grokster, EDonkey, FastTrack,
Gnutella … ), hầu hết hoạt động theo cách thức khá đơn giản: để xâm
nhập vào mạng P2P, tất cả những gì chúng cần làm là tự sao chép chính
nó vào các thư mục chia sẻ – những thư mục như này thường ở trên các
máy local. Và mô hình mạng P2P sẽ “vô tình” làm nốt phần việc còn lại:
mỗi khi yêu cầu tìm thấy 1 tập tin nào đó được thực hiện, nó sẽ thông báo
cho người dùng rằng những tập tin đó có thể được tải về (từ máy tính đã bị
lây nhiễm).
Ngoài ra, còn có 1 số loại P2P-Worm với cơ chế hoạt động và lây nhiễm
phức tạp hơn rất nhiều: chúng bắt chước mô hình mạng của 1 hệ thống chia
sẻ dữ liệu cụ thể, đồng thời phản hồi lại tất cả các yêu cầu, truy vấn tìm
kiếm từ phía người sử dụng.
Mẫu phần mềm độc hại này được phát hiện vào ngày 18 / 08 /2010 lúc
13:59 GMT, bắt đầu lây lan và hoạt động cùng ngày 18/08/2010 lúc 20:24
GMT, được thông bố đầy đủ thông tin nhận diện chỉ sau đó 2 ngày tức là
20/08/2010 lúc 09:51 GMT.
Mô tả về mặt kỹ thuật
Để hoạt động, những loại sâu này ngăn chặn toàn bộ yêu cầu của người sử
dụng và chuyển hướng tất cả tới đường dẫn URL có chứa mã độc. Đồng
thời, chúng còn đi kèm với công cụ chuyên để gửi những tin nhắn lừa đảo
tới phía người dùng. Chúng chủ yếu lan truyền qua email và mạng ngang
hàng P2P. Về bản chất, chúng là những file Windows PE EXE, với dung
lượng khoảng 300KB và mã nguồn của chúng được viết bằng ngôn ngữ
C++.
Khi được kích hoạt, chúng sẽ tự động sao chép các file thực thi vào những
thư mục hệ thống của Windows:
%system%\HPWuSchdq.exe
Đồng thời tiếp tục giải nén các gói đi kèm và các file thực thi khác trên ổ
- cứng – đây thực chất là những phần khác nhau của các chương trình độc
hại:
%appdata%\SystemProc\lsass.exe
Và để đảm bảo rằng chúng sẽ được tự kích hoạt mỗi khi hệ điều hành khởi
động, các Trojan này tạo các khóa autorun sau trong registry:
[HKÑU\Software\Microsoft\Windows\CurrentVersion\Ru
n]
"HP Software Updater
v1.2"="%system%\HPWuSchdq.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\po
licies\Explorer\Run]
"RTHDBPL"="%appdata%\SystemProc\lsass.exe"
Mặt khác, chúng tự “đăng ký” vào trong danh sách các ứng dụng an toàn
của Windows firewall:
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAcce
ss\ParametersFirewallPolicy\StandardProfile\Auth
orizedApplications\List]
"%system%\HPWuSchdq.exe"="%system%\HPWuSchdq.exe:*
:Enabled:Explorer"
Và chúng còn tiếp tục tạo ra các khóa lưu trữ thông tin và dữ liệu:
[HKÑU\Identities]
"Curr version"
"Inst Date"
"Last Date"
"Send Inst"
"First Start"
"Popup count"
"Popup date"
"Popup time"
"KillSelf"
- Phân tích về quá trình Payload
Khi cài đặt thành công, chúng sẽ gửi thông báo “infection successful” tới
server C&C tại địa chỉ sau:
http://contr***.com/inst.php?aid=blackout
Yêu cầu thông tin địa chỉ IP của máy tính nạn nhân từ website sau để xác
định vị trí:
http://whatis***.com/automation/n09230945.asp
Đồng thời, chúng “theo dõi” dấu vết của các trình duyệt sau:
Internet Explorer
Opera
Google Chrome
Mozilla Firefox
Nếu người dùng truy cập vào những trang web với header có chứa 1 hoặc
nhiều từ khóa sau:
cialis pharma casino finance mortgage insurance gambling health
hotel travel antivirus antivir pocker poker video vocations design
graphic
football footbal estate baseball books gifts money spyware credit loans
dating
myspace virus verizon amazon iphone software mobile music craigslist
sport
medical school wallpaper military weather twitter fashion spybot
trading
tramadol flower cigarettes doctor flights airlines comcast
thì chúng sẽ lập tức ngăn chặn và chuyển hướng tất cả tới địa chỉ sau:
http://oxobla***.com/se.php?pop=1&aid=YmxhY2tvd
XQA9D8&sid=&key=
với là số ngẫu nhiên, và là 1 trong số các từ khóa liệt kê
bên trên. Những đoạn mã độc này đồng thời theo dõi tất cả các yêu cầu tìm
kiếm từ người dùng với những Search Engine sau:
google
- yahoo
live
msn
bing
youtobe
Và dữ liệu tìm kiếm sẽ được gửi tới đường dẫn URL sau:
http://tetro***.com/request.php?aid=blackout&ver=25
Mặt khác, chúng thu thập tất cả các địa chỉ email được lưu trữ trong máy
tính và gửi những những mẩu thư rác như sau tới họ:
Nếu để ý 1 chút, bạn sẽ thấy đường dẫn màu xanh “visit our verification
page” là 1 mẩu tin nhắn giả mạo, sẽ đưa người dùng đến trang web lừa đảo
có dạng http://barc***.ath.cx/LogIn.html được điều khiển trực tiếp bởi
tin tặc. Khi đã truy cập vào trang web đó, hệ thống sẽ yêu cầu họ cung cấp
thông tin tài khoản ngân hàng trực tuyến Barclays Bank. Đồng thời, chúng
sẽ ngắt tất cả các hoạt động của những chương trình bảo mật và an ninh
phổ biến như: Kaspersky Anti-Virus, Antivirus System Tray Tool, Avira
Internet Security, AntiVir PersonalEdition Classic Service, Rising Process
Communication Center …
Đồng thời, chúng sẽ tự xóa các thông tin về chúng từ các khóa autorun của
registry:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n]
- Và tiếp tục ngăn chặn các yêu cầu truy cập của người dùng tới các trang
cung cấp dịch vụ an ninh, bảo mật. Đồng thời xóa bỏ dịch vụ User Account
Control trong Windows Vista và 7:
[HKLM\SOFTWARE\Microsoft\Security Center]
"UACDisableNotify"=dword:00000001
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\po
licies\system]
"EnableLUA"=dword:00000000
Tiếp tục, chúng hủy những dịch vụ hệ thống sau:
ERSvc - Error Reporting Service
wscsvc - Windows Security Center Service
Bên cạnh đó, chúng âm thầm tải các bản vá từ những địa chỉ sau:
http://simfree***.com/update.php?sd=2010-04-27&aid=blackout
http://posit***.com/update.php?sd=2010-04-27&aid=blackout
http://rts***.com/update.php?sd=2010-04-27&aid=blackout
http://qul***.com/update.php?sd=2010-04-27&aid=blackout
Các phiên bản tiếp theo của chúng sẽ được tải về file C:\autoexec.exe và tự
động kích hoạt. Sau đó file này sẽ tự động xóa bỏ.
Quá trình lây lan
Về bản chất, những đoạn mã độc này lan truyền qua hình thức
email bằng cách tự động gửi những đoạn tin nhắn với những file
thực thi (dạng *.exe) được gắn liền dưới nhiều tên gọi khác nhau:
- Với mô hình mạng ngang hàng P2P, chúng sẽ tự sao chép bản thân
vào những thư mục chia sẻ trên hệ thống mạng:
- %ProgramFiles%\winmx\shared%ProgramFiles%\tesla\files%ProgramFiles%\limewire\shared%ProgramFiles%\morpheus\my shared folder%ProgramFiles%\emule\incoming%ProgramFiles%\edonkey2000\incoming%ProgramFiles%\bearshare\shared%ProgramFiles%\grokster\my grokster%ProgramFiles%\icq\shared folder%ProgramFiles%\kazaa lite k++\my shared folder%ProgramFiles%\kazaa lite\my shared folder%ProgramFiles%\kazaa\my shared foldervới những tên gọi đại loại như sau:
YouTubeGet 5.6.exe
Youtube Music Downloader 1.3.exe
WinRAR v3.x keygen [by HiXem].exe
Windows2008 keygen and activator.exe
[+ MrKey +] Windows XP PRO Corp SP3 valid-key
generator.exe
Windows Password Cracker + Elar3 key.exe
[Eni0j0 team] Windows 7 Ultimate keygen.exe
Windows 2008 Enterprise Server VMWare Virtual
Machine.exe
Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe
Website Hacker.exe
[Eni0j0 team] Vmvare keygen.exe
VmWare 7.x keygen.exe
UT 2003 KeyGen.exe
Twitter FriendAdder 2.3.9.exe
Tuneup Ultilities 2010.exe
[antihack tool] Trojan Killer v2.9.4173.exe
Total Commander7 license+keygen.exe
Super Utilities Pro 2009 11.0.exe
Sub7 2.5.1 Private.exe
- Sophos antivirus updater bypass.exe
sdbot with NetBIOS Spread.exe
[fixed]RapidShare Killer AIO 2010.exe
Rapidshare Auto Downloader 3.8.6.exe
Power ISO v4.4 + keygen milon.exe
[patched, serial not needed] PDF Unlocker v2.0.5.exePDF-
XChange Pro.exe
[patched, serial not needed] PDF to Word Converter 3.4.exe
PDF password remover (works with all acrobat reader).exe
Password Cracker.exe
Norton Internet Security 2010 crack.exe
Norton Anti-Virus 2010 Enterprise Crack.exe
Norton Anti-Virus 2005 Enterprise Crack.exe
NetBIOS Hacker.exe
NetBIOS Cracker.exe
[patched, serial not need] Nero 9.x keygen.exe
Myspace theme collection.exe
MSN Password Cracker.exe
Mp3 Splitter and Joiner Pro v3.48.exe
Motorola, nokia, ericsson mobil phone tools.exe
Microsoft.Windows 7 ULTIMATE FINAL activator+keygen
x86.exe
Microsoft Visual Studio KeyGen.exe
Microsoft Visual C++ KeyGen.exe
Microsoft Visual Basic KeyGen.exe
McAfee Total Protection 2010 [serial patch by AnalGin].exe
Magic Video Converter 8.exe
LimeWire Pro v4.18.3 [Cracked by AnalGin].exe
L0pht 4.0 Windows Password Cracker.exe
K-Lite Mega Codec v5.2 Portable.exe
K-Lite Mega Codec v5.2.exe
Keylogger unique builder.exe
Kaspersky Internet Security 2010 keygen.exe
Kaspersky AntiVirus 2010 crack.exe
IP Nuker.exe
- Internet Download Manager V5.exe
Image Size Reducer Pro v1.0.1.exe
ICQ Hacker Trial version [brute].exe
Hotmail Hacker [Brute method].exe
Hotmail Cracker [Brute method].exe
Half-Life 2 Downloader.exe
Grand Theft Auto IV [Offline Activation + mouse patch].exe
Google SketchUp 7.1 Pro.exe
G-Force Platinum v3.7.6.exe
FTP Cracker.exe
DVD Tools Nero 10.x.x.x.exe
Download Boost 2.0.exe
Download Accelerator Plus v9.2.exe
Divx Pro 7.x version Keymaker.exe
DivX 5.x Pro KeyGen generator.exe
DCOM Exploit archive.exe
Daemon Tools Pro 4.8.exe
Counter-Strike Serial key generator [Miona patch].exe
CleanMyPC Registry Cleaner v6.02.exe
Brutus FTP Cracker.exe
Blaze DVD Player Pro v6.52.exe
BitDefender AntiVirus 2010 Keygen.exe
Avast 5.x Professional.exe
Avast 4.x Professional.exe
Ashampoo Snap 3.xx [Skarleot Group].exe
AOL Password Cracker.exe
AOL Instant Messenger (AIM) Hacker.exe
AnyDVD HD v.6.3.1.8 Beta incl crack.exe
Anti-Porn v13.x.x.x.exe
Alcohol 120 v1.9.x.exe
Adobe Photoshop CS4 crack by M0N5KI Hack Group.exe
Adobe Illustrator CS4 crack.exe
Adobe Acrobat Reader keygen.exe
Ad-aware 2010.exe
- [patched, serial not needed] Absolute Video Converter 6.2-
7.exe
Để ngăn chặn kịp thời và phòng chống khỏi mối hiểm họa này,
người dùng luôn luôn cập nhật đầy đủ cơ sở dữ liệu nhận dạng cho
chương trình bảo mật hiện thời của hệ thống, chỉ nên sử dụng các
phần mềm an ninh của các hãng có uy tín và được nhiều người biết
đến, hoặc các bạn có thể tham khảo thêm về danh sách các phần
mềm an ninh sau.
nguon tai.lieu . vn