of x

Mô tả mẫu P2P-Worm.Win32.BlackControl.g

Đăng ngày | Thể loại: | Lần tải: 0 | Lần xem: 1 | Page: 18 | FileSize: 0.28 M | File type: PDF
1 lần xem

Mô tả mẫu P2P-Worm.Win32.BlackControl.g. Mô tả về mẫu P2P-Worm.Win32.BlackControl.g .Với tên gọi P2P Worm – chúng chủ yếu lây lan qua mô hình chia sẻ mạng ngang hàng (như Kazaa, Grokster, EDonkey, FastTrack, Gnutella … ), hầu hết hoạt động theo cách thức khá đơn giản: để xâm nhập vào mạng P2P, tất cả những gì chúng cần làm là tự sao chép chính nó vào các thư mục chia sẻ – những thư mục như này thường ở trên các máy local. Và mô hình mạng P2P sẽ “vô tình” làm nốt phần việc còn lại: mỗi khi yêu cầu tìm thấy 1 tập.... Giống những thư viện tài liệu khác được bạn đọc chia sẽ hoặc do sưu tầm lại và chia sẽ lại cho các bạn với mục đích nghiên cứu , chúng tôi không thu phí từ bạn đọc ,nếu phát hiện nội dung phi phạm bản quyền hoặc vi phạm pháp luật xin thông báo cho chúng tôi,Ngoài giáo án bài giảng này, bạn có thể download đề thi, giáo trình phục vụ tham khảo Có tài liệu tải về thiếu font chữ không xem được, thì do máy tính bạn không hỗ trợ font củ, bạn download các font .vntime củ về cài sẽ xem được.

https://tailieumienphi.vn/doc/mo-ta-mau-p2p-worm-win32-blackcontrol-g-yze2tq.html

Nội dung

tailieumienphi xin chia sẽ đến mọi người thư viện Mô tả mẫu P2P-Worm.Win32.BlackControl.g.Để giới thiệu thêm cho các Thầy cô, các bạn sinh viên, học viên nguồn thư viện Công Nghệ Thông Tin,An ninh - Bảo mật mang đến cho học tập.Trân trọng kính mời đọc giả quan tâm cùng xem ,Thư viện Mô tả mẫu P2P-Worm.Win32.BlackControl.g thuộc thể loại ,Công Nghệ Thông Tin,An ninh - Bảo mật được giới thiệu bởi thành viên anninhbaomat đến mọi người nhằm mục đích học tập , tài liệu này được giới thiệu vào chủ đề Công Nghệ Thông Tin,An ninh - Bảo mật , có tổng cộng 18 trang , thuộc thể loại .PDF, cùng mục còn có an ninh dành cho OS X, OS X 10.7 Lion, lỗ hổng vốn, chứng thư bảo mật, bảo mật số SSL giả, đánh cắp thông tin ,bạn có thể download miễn phí , hãy giới thiệu cho mọi người cùng học tập . Để tải file về, đọc giả click chuột nút download bên dưới
Mô tả về mẫu P2P-Worm, bên cạnh đó Win32, bên cạnh đó BlackControl, thêm nữa g, nói thêm là Với tên gọi P2P Worm – chúng cốt tử lây lan qua mô hình san sẻ mạng ngang hàng (như Kazaa, Grokster, EDonkey, FastTrack, Gnutella … ), hầu hết hoạt động theo phương pháp khá đơn giản: để thâm nhập vào mạng P2P, hầu hết các gì chúng cần làm là tự sao chép chính nó vào những thư mục san sẻ – các thư mục như này thường ở phía trên những máy local, ngoài ra Và mô hình mạng P2P sẽ “vô tình” làm nốt phần việc còn lại: mỗi khi đề nghị tìm thấy 1 tập,còn cho biết thêm Mô tả về mẫu P2P-Worm, cho biết thêm Win32,còn cho biết thêm BlackControl, nói thêm là g, nói thêm Với tên gọi P2P Worm – chúng cốt tử lây lan qua mô hình san sẻ mạng ngang hàng (như Kazaa, Grokster, EDonkey, FastTrack, Gnutella … ), hầu hết hoạt động theo phương pháp khá đơn giản: để thâm nhập vào mạng P2P, hầu hết các gì chúng cần làm là tự sao chép chính nó vào những thư mục san sẻ – các thư mục như này thường ở phía trên những máy local, ngoài ra Và mô hình mạng P2P sẽ “vô tình” làm nốt phần việc còn lại: mỗi khi đề nghị tìm thấy 1 tập tin nào ấy được thực hiện, nó sẽ thông báo cho người dùng rằng các tập tin ấy có thể được tải về (từ máy tính đã bị lây nhi
  1. Mô tả về mẫu P2P-Worm.Win32.BlackControl.g
  2. Với tên gọi P2P Worm – chúng chủ yếu lây lan qua mô hình chia sẻ mạng ngang hàng (như Kazaa, Grokster, EDonkey, FastTrack, Gnutella … ), hầu hết hoạt động theo cách thức khá đơn giản: để xâm nhập vào mạng P2P, tất cả những gì chúng cần làm là tự sao chép chính nó vào các thư mục chia sẻ – những thư mục như này thường ở trên các máy local. Và mô hình mạng P2P sẽ “vô tình” làm nốt phần việc còn lại: mỗi khi yêu cầu tìm thấy 1 tập tin nào đó được thực hiện, nó sẽ thông báo cho người dùng rằng những tập tin đó có thể được tải về (từ máy tính đã bị lây nhiễm). Ngoài ra, còn có 1 số loại P2P-Worm với cơ chế hoạt động và lây nhiễm phức tạp hơn rất nhiều: chúng bắt chước mô hình mạng của 1 hệ thống chia sẻ dữ liệu cụ thể, đồng thời phản hồi lại tất cả các yêu cầu, truy vấn tìm kiếm từ phía người sử dụng. Mẫu phần mềm độc hại này được phát hiện vào ngày 18 / 08 /2010 lúc 13:59 GMT, bắt đầu lây lan và hoạt động cùng ngày 18/08/2010 lúc 20:24 GMT, được thông bố đầy đủ thông tin nhận diện chỉ sau đó 2 ngày tức là 20/08/2010 lúc 09:51 GMT. Mô tả về mặt kỹ thuật
  3. Để hoạt động, những loại sâu này ngăn chặn toàn bộ yêu cầu của người sử dụng và chuyển hướng tất cả tới đường dẫn URL có chứa mã độc. Đồng thời, chúng còn đi kèm với công cụ chuyên để gửi những tin nhắn lừa đảo tới phía người dùng. Chúng chủ yếu lan truyền qua email và mạng ngang hàng P2P. Về bản chất, chúng là những file Windows PE EXE, với dung lượng khoảng 300KB và mã nguồn của chúng được viết bằng ngôn ngữ C++. Khi được kích hoạt, chúng sẽ tự động sao chép các file thực thi vào những thư mục hệ thống của Windows: %system%\HPWuSchdq.exe Đồng thời tiếp tục giải nén các gói đi kèm và các file thực thi khác trên ổ cứng – đây thực chất là những phần khác nhau của các chương trình độc hại: %appdata%\SystemProc\lsass.exe Và để đảm bảo rằng chúng sẽ được tự kích hoạt mỗi khi hệ điều hành khởi động, các Trojan này tạo các khóa autorun sau trong registry: [HKÑU\Software\Microsoft\Windows\CurrentVersion\Run] "HP Software Updater v1.2"="%system%\HPWuSchdq.exe"
  4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Expl orer\Run] "RTHDBPL"="%appdata%\SystemProc\lsass.exe" Mặt khác, chúng tự “đăng ký” vào trong danh sách các ứng dụng an toàn của Windows firewall: [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameter s FirewallPolicy\StandardProfile\Auth orizedApplications\List] "%system%\HPWuSchdq.exe"="%system%\HPWuSchdq.exe:*:Enabl ed:Explorer" Và chúng còn tiếp tục tạo ra các khóa lưu trữ thông tin và dữ liệu: [HKÑU\Identities] "Curr version" "Inst Date" "Last Date" "Send Inst"
  5. "First Start" "Popup count" "Popup date" "Popup time" "KillSelf" Phân tích về quá trình Payload Khi cài đặt thành công, chúng sẽ gửi thông báo “infection successful” tới server C&C tại địa chỉ sau: http://contr***.com/inst.php?aid=blackout Yêu cầu thông tin địa chỉ IP của máy tính nạn nhân từ website sau để xác định vị trí: http://whatis***.com/automation/n09230945.asp Đồng thời, chúng “theo dõi” dấu vết của các trình duyệt sau: Internet Explorer Opera
  6. Google Chrome Mozilla Firefox Nếu người dùng truy cập vào những trang web với header có chứa 1 hoặc nhiều từ khóa sau: cialis pharma casino finance mortgage insurance gambling health hotel travel antivirus antivir pocker poker video vocations design graphic football footbal estate baseball books gifts money spyware credit loans dating myspace virus verizon amazon iphone software mobile music craigslist sport medical school wallpaper military weather twitter fashion spybot trading tramadol flower cigarettes doctor flights airlines comcast thì chúng sẽ lập tức ngăn chặn và chuyển hướng tất cả tới địa chỉ sau: http://oxobla***.com/se.php?pop=1&aid=YmxhY2tvd XQA9D8&sid=&key=
  7. với là số ngẫu nhiên, và là 1 trong số các từ khóa liệt kê bên trên. Những đoạn mã độc này đồng thời theo dõi tất cả các yêu cầu tìm kiếm từ người dùng với những Search Engine sau: google yahoo live msn bing youtobe Và dữ liệu tìm kiếm sẽ được gửi tới đường dẫn URL sau: http://tetro***.com/request.php?aid=blackout&ver=25 Mặt khác, chúng thu thập tất cả các địa chỉ email được lưu trữ trong máy tính và gửi những những mẩu thư rác như sau tới họ:
  8. Nếu để ý 1 chút, bạn sẽ thấy đường dẫn màu xanh “visit our verification page” là 1 mẩu tin nhắn giả mạo, sẽ đưa người dùng đến trang web lừa đảo có dạng http://barc***.ath.cx/LogIn.html được điều khiển trực tiếp bởi tin tặc. Khi đã truy cập vào trang web đó, hệ thống sẽ yêu cầu họ cung cấp thông tin tài khoản ngân hàng trực tuyến Barclays Bank. Đồng thời, chúng sẽ ngắt tất cả các hoạt động của những chương trình bảo mật và an ninh phổ biến như: Kaspersky Anti-Virus, Antivirus System Tray Tool, Avira Internet Security, AntiVir PersonalEdition Classic Service, Rising Process Communication Center … Đồng thời, chúng sẽ tự xóa các thông tin về chúng từ các khóa autorun của registry: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  9. Và tiếp tục ngăn chặn các yêu cầu truy cập của người dùng tới các trang cung cấp dịch vụ an ninh, bảo mật. Đồng thời xóa bỏ dịch vụ User Account Control trong Windows Vista và 7: [HKLM\SOFTWARE\Microsoft\Security Center] "UACDisableNotify"=dword:00000001 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\syste m] "EnableLUA"=dword:00000000 Tiếp tục, chúng hủy những dịch vụ hệ thống sau: ERSvc - Error Reporting Service wscsvc - Windows Security Center Service Bên cạnh đó, chúng âm thầm tải các bản vá từ những địa chỉ sau: http://simfree***.com/update.php?sd=2010-04-27&aid=blackout http://posit***.com/update.php?sd=2010-04-27&aid=blackout http://rts***.com/update.php?sd=2010-04-27&aid=blackout http://qul***.com/update.php?sd=2010-04-27&aid=blackout
  10. Các phiên bản tiếp theo của chúng sẽ được tải về file C:\autoexec.exe và tự động kích hoạt. Sau đó file này sẽ tự động xóa bỏ. Quá trình lây lan Về bản chất, những đoạn mã độc này lan truyền qua hình thức email bằng cách tự động gửi những đoạn tin nhắn với những file thực thi (dạng *.exe) được gắn liền dưới nhiều tên gọi khác nhau:
  11. Với mô hình mạng ngang hàng P2P, chúng sẽ tự sao chép bản thân vào những thư mục chia sẻ trên hệ thống mạng: %ProgramFiles%\winmx\shared %ProgramFiles%\tesla\files %ProgramFiles%\limewire\shared %ProgramFiles%\morpheus\my shared folder %ProgramFiles%\emule\incoming %ProgramFiles%\edonkey2000\incoming %ProgramFiles%\bearshare\shared
  12. %ProgramFiles%\grokster\my grokster %ProgramFiles%\icq\shared folder %ProgramFiles%\kazaa lite k++\my shared folder %ProgramFiles%\kazaa lite\my shared folder %ProgramFiles%\kazaa\my shared folder với những tên gọi đại loại như sau: YouTubeGet 5.6.exe Youtube Music Downloader 1.3.exe WinRAR v3.x keygen [by HiXem].exe Windows2008 keygen and activator.exe [+ MrKey +] Windows XP PRO Corp SP3 valid-key generator.exe Windows Password Cracker + Elar3 key.exe [Eni0j0 team] Windows 7 Ultimate keygen.exe Windows 2008 Enterprise Server VMWare Virtual Machine.exe Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe Website Hacker.exe [Eni0j0 team] Vmvare keygen.exe VmWare 7.x keygen.exe
  13. UT 2003 KeyGen.exe Twitter FriendAdder 2.3.9.exe Tuneup Ultilities 2010.exe [antihack tool] Trojan Killer v2.9.4173.exe Total Commander7 license+keygen.exe Super Utilities Pro 2009 11.0.exe Sub7 2.5.1 Private.exe Sophos antivirus updater bypass.exe sdbot with NetBIOS Spread.exe [fixed]RapidShare Killer AIO 2010.exe Rapidshare Auto Downloader 3.8.6.exe Power ISO v4.4 + keygen milon.exe [patched, serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe [patched, serial not needed] PDF to Word Converter 3.4.exe PDF password remover (works with all acrobat reader).exe Password Cracker.exe Norton Internet Security 2010 crack.exe Norton Anti-Virus 2010 Enterprise Crack.exe
  14. Norton Anti-Virus 2005 Enterprise Crack.exe NetBIOS Hacker.exe NetBIOS Cracker.exe [patched, serial not need] Nero 9.x keygen.exe Myspace theme collection.exe MSN Password Cracker.exe Mp3 Splitter and Joiner Pro v3.48.exe Motorola, nokia, ericsson mobil phone tools.exe Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe Microsoft Visual Studio KeyGen.exe Microsoft Visual C++ KeyGen.exe Microsoft Visual Basic KeyGen.exe McAfee Total Protection 2010 [serial patch by AnalGin].exe Magic Video Converter 8.exe LimeWire Pro v4.18.3 [Cracked by AnalGin].exe L0pht 4.0 Windows Password Cracker.exe K-Lite Mega Codec v5.2 Portable.exe K-Lite Mega Codec v5.2.exe Keylogger unique builder.exe
  15. Kaspersky Internet Security 2010 keygen.exe Kaspersky AntiVirus 2010 crack.exe IP Nuker.exe Internet Download Manager V5.exe Image Size Reducer Pro v1.0.1.exe ICQ Hacker Trial version [brute].exe Hotmail Hacker [Brute method].exe Hotmail Cracker [Brute method].exe Half-Life 2 Downloader.exe Grand Theft Auto IV [Offline Activation + mouse patch].exe Google SketchUp 7.1 Pro.exe G-Force Platinum v3.7.6.exe FTP Cracker.exe DVD Tools Nero 10.x.x.x.exe Download Boost 2.0.exe Download Accelerator Plus v9.2.exe Divx Pro 7.x version Keymaker.exe DivX 5.x Pro KeyGen generator.exe DCOM Exploit archive.exe
  16. Daemon Tools Pro 4.8.exe Counter-Strike Serial key generator [Miona patch].exe CleanMyPC Registry Cleaner v6.02.exe Brutus FTP Cracker.exe Blaze DVD Player Pro v6.52.exe BitDefender AntiVirus 2010 Keygen.exe Avast 5.x Professional.exe Avast 4.x Professional.exe Ashampoo Snap 3.xx [Skarleot Group].exe AOL Password Cracker.exe AOL Instant Messenger (AIM) Hacker.exe AnyDVD HD v.6.3.1.8 Beta incl crack.exe Anti-Porn v13.x.x.x.exe Alcohol 120 v1.9.x.exe Adobe Photoshop CS4 crack by M0N5KI Hack Group.exe Adobe Illustrator CS4 crack.exe Adobe Acrobat Reader keygen.exe Ad-aware 2010.exe [patched, serial not needed] Absolute Video Converter 6.2-7.exe
  17. Để ngăn chặn kịp thời và phòng chống khỏi mối hiểm họa này, người dùng luôn luôn cập nhật đầy đủ cơ sở dữ liệu nhận dạng cho chương trình bảo mật hiện thời của hệ thống, chỉ nên sử dụng các phần mềm an ninh của các hãng có uy tín và được nhiều người biết đến, hoặc các bạn có thể tham khảo thêm về danh sách các phần mềm an ninh sau.
683996

Sponsor Documents