Mô tả về mẫu Trojan-PSW.Win32.Qbot.mk

Đăng ngày | Thể loại: | Lần tải: 0 | Lần xem: 1 | Page: 7 | FileSize: 0.13 M | File type: PDF
of x

Mô tả về mẫu Trojan-PSW.Win32.Qbot.mk. Mô tả về mẫu Trojan-PSW.Win32.Qbot.mk .Được xếp vào loại Trojan-PSW – với mục đích lấy trộm các thông tin cá nhân, các tài khoản bao gồm tên đăng nhập và mật khẩu truy cập của người sử dụng trên máy tính bị lây nhiễm. PSW là thuật ngữ viết tắt của Password Stealing Ware. Khi được kích hoạt trên máy tính, Trojan PSW sẽ tiến hành tìm kiếm tất cả các file hệ thống có thể lưu trữ các thông tin xác nhận hoặc khóa registry. Nếu mẫu dữ liệu như vậy được tìm thấy, chúng sẽ lập tức gửi về tài.... Cũng như những tài liệu khác được bạn đọc chia sẽ hoặc do sưu tầm lại và giới thiệu lại cho các bạn với mục đích nghiên cứu , chúng tôi không thu phí từ bạn đọc ,nếu phát hiện nội dung phi phạm bản quyền hoặc vi phạm pháp luật xin thông báo cho website ,Ngoài thư viện tài liệu này, bạn có thể tải bài giảng,luận văn mẫu phục vụ tham khảo Vài tài liệu tải về mất font không xem được, nguyên nhân máy tính bạn không hỗ trợ font củ, bạn tải các font .vntime củ về cài sẽ xem được.

https://tailieumienphi.vn/doc/mo-ta-ve-mau-trojan-psw-win32-qbot-mk-zze2tq.html

Nội dung


  1. Mô tả về mẫu Trojan-PSW.Win32.Qbot.mk
  2. Được xếp vào loại Trojan-PSW – với mục đích lấy trộm các thông tin cá nhân, các tài khoản bao gồm tên đăng nhập và mật khẩu truy cập của người sử dụng trên máy tính bị lây nhiễm. PSW là thuật ngữ viết tắt của Password Stealing Ware. Khi được kích hoạt trên máy tính, Trojan PSW sẽ tiến hành tìm kiếm tất cả các file hệ thống có thể lưu trữ các thông tin xác nhận hoặc khóa registry. Nếu mẫu dữ liệu như vậy được tìm thấy, chúng sẽ lập tức gửi về tài khoản của kẻ điều khiển đứng đằng sau thông qua email, FTP, website hoặc bất cứ hình thức nào phù hợp. 1 số loại Trojan tương tự còn đánh cắp thông tin đăng ký xác nhận phần mềm bản quyền của người sử dụng. Trojan-PSW.Win32.Qbot.mk, còn được gọi là Trojan- Downloader.Win32.Piker.cjs – tất cả đều được Kaspersky phát hiện và phân loại. Chúng được phát hiện lần đầu tiên vào ngày 27 / 05 / 2010 lúc 11:14 GMT, bắt đầu hoạt động cùng ngày - 27 / 05 / 2010 lúc 18:10 GMT, nhưng cho đến ngày 02 / 07 / 2010 - 08:11 GMT thì những thông tin phân tích chi tiết mới
  3. được công bố. Phân tích chi tiết về mặt kỹ thuật Bên ngoài nhiệm vụ chính là đánh cắp thông tin tài khoản của người dùng, chúng còn đảm nhiệm vai trò cầu nối để tin tặc đột nhập và điều khiển máy tính của nạn nhân. Về bản chất, chúng là những file Windows PE dưới dạng *.exe, với dung lượng trung bình khoảng 85 kilobyte và bộ mã nguồn của chúng được viết bằng ngôn ngữ C. Trong quá trình xâm nhập vào máy tính, chúng sẽ sản sinh những file sau từ phần thân bên trong: %allusersprofile%\qbothome\qbotinj.exe %allusersprofile%\qbothome\qbotnti.exe %allusersprofile%\qbothome\alias_qbotnti.exe %allusersprofile%\qbothome\qbot.dll %allusersprofile%\qbothome\msadvapi32.dll %allusersprofile%\qbothome\q1.
  4. với là chuỗi những chữ số ngẫu nhiên. Và những file đó còn được tạo ra ở những thư mục bên ngoài. Bên cạnh đó, chúng chỉnh sửa khóa Registry sau để tự động kích hoạt khi hệ thống khởi động: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Và khóa registry nguyên bản sẽ được chuyển thành: ""%allusersprofile%\qbothome qbotinj.exe" "%allusersprofile%\qbothome\qbot.dll" /c "" với là giá trị nguyên gốc của khóa. Quá trình lây lan Chúng có cơ chế tự nhân bản và lây lan qua các máy tính trong cùng hệ thống mạng bằng cách tự sao chép qua những thư mục hoặc ổ đĩa sau: C$\Windows\q.dll C$\Windows\q1. ADMIN$\q.dll ADMIN$\q1.
  5. Phương thức Payload Sau khi xâm nhập thành công, chúng sẽ tiến hành phân tích và tải những file cấu hình từ các địa chỉ sau: http://www.cdcdcdcdc2121cdsf***.com/crontab.cb http://www.cdcdcdcdc2121cds**fd.com/updates.cb http://www.cdcdcdcdc2121c**fdfd.com/updates1.cb http://www.cdcdcdcdc**21cdsfdfd.com/_qbot.cb Chức năng chính của chúng là thu thập và lưu giữ tất cả những thông tin khi người dùng khai báo vào những form có sẵn trên website, ví dụ đối với hệ thống ngân hàng, tài khoản, thanh toán trực tuyến như: Wells Fargo Bank, Bank Of America, Key Bank, PNC Bank, Fifth Third Bank, Regions Financial Corporation … Đến lúc này, chúng có thể tự chèn thêm những thư viện liên kết động - dynamic-link library (qbot.dll) vào các địa chỉ trống của tiến trình iexplore.exe (trình duyệt Internet Explorer)
  6. Mặt khác, chúng còn đánh cắp các thông tin, dữ liệu sau: - Tài khoản Microsoft Outlook - Tên đăng nhập và mật khẩu MSN - Thông tin nhận dạng của các website - Dữ liệu lưu trữ trong Cookie - Các thông tin xác nhận dưới dạng chữ ký kỹ thuật số Thông qua tài khoản hoặc email của tin tặc liệt kê trong các file cấu hình được tải về lúc trước, chúng sẽ gửi những thông tin đánh cắp được tới server của tin tặc. Bên cạnh đó, Trojan-PSW.Win32.Qbot.mk còn sử dụng các file cấu hình trên để lấy số địa chỉ và kênh của server IRC (Internet Relay Chat) – được tin tặc áp dụng như 1 phương pháp phòng bị để điều khiển những máy tính bị lây nhiễm. Thực chất, tin tặc sử dụng IRC để gán quyền truy cập tới các file hệ thống bên trong máy tính, cài đặt và kích hoạt các loại mã độc khác. Hoặc chúng có thể xóa bỏ các mã độc này khỏi máy tính chỉ với 1 câu lệnh – để tránh bị phát hiện bởi các chương trình bảo mật.
  7. Những bản cập nhật của Trojan-PSW.Win32.Qbot.mk thường được tải về từ địa chỉ sau: http://nt0***.cn/cgi-bin/jl/jlo**der.pl Đồng thời với quá trình này, chúng sẽ thu thập và gửi thông tin cụ thể của máy tính như tên máy, địa chỉ IP, vị trí địa lý, các phiên bản về hệ điều hành, ngày và giờ hệ thống … Và những thông tin này sẽ được gửi qua: http://boogie****ekid.com/cgi-bin/cli**tinfo3.pl
683997