1. Trang chủ
  2. » Công Nghệ Thông Tin

Tìm hiểu về phần mềm độc hại pptx

3 628 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 3
Dung lượng 94,3 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Tìm hiểu về phần mềm độc hại Backdoor.Win32.Bredolab.eua Những chương trình như này thường được sử dụng để liên kết những nhóm máy tính bị lây nhiễm để tạo nên mô hình mạng botnet hoặc z

Trang 1

Tìm hiểu về phần mềm độc hại Backdoor.Win32.Bredolab.eua

Những chương trình như này thường được sử dụng để liên kết những nhóm máy tính bị lây nhiễm để tạo nên mô hình mạng botnet hoặc zombie thường gặp Và những kẻ đứng đằng sau tổ chức này có thể dễ dàng tập trung 1 số lượng lớn hoặc rất lớn các máy tính – lúc này đã trở thành công cụ cho tin tặc, nhằm thực hiện

1 bộ phận khác của Backdoor cũng có khả năng lây lan và hoạt động giống hệt với Net-Worm, chúng ta có thể phân biệt chúng qua khả năng lây lan, Backdoor không thể tự nhân bản và lây lan, trái ngược hoàn toàn với Net-Worm Nhưng chỉ cần nhận được lệnh đặc biệt từ phía tin tặc, chúng sẽ đồng loạt lây lan và sản sinh

Tại bài viết này, chúng ta sẽ cùng thảo luận về

mẫu Backdoor.Win32.Bredolab.eua (được đặt tên bởi Kaspersky), hoặc còn

được biết đến dưới tên gọi:

- TrojanDownloader:Win32/Bredolab.AA (MS(OneCare))

- Win32/TrojanDownloader.Bredolab.BE trojan (Nod32)

Trang 2

- W32/Bredolab.TP (Norman)

- Backdoor.Bredolab.CNS (VirusBusterBeta)

Chúng được phát hiện vào ngày 3/6/2010 lúc 16:16 GMT, “rục rịch” hoạt động tại 4/6/2010 lúc 03:28 GMT, và các thông tin phân tích chi tiết được đăng tải vào

Miêu tả chi tiết về mặt kỹ thuật

Về bản chất, những chương trình mã độc như thế này thường được quản lý bởi server riêng, và có nhiệm vụ tải các malware khác về máy tính đã bị lây nhiễm

Như tất cả các chương trình độc hại khác, chúng tự kích hoạt cơ chế khởi động cùng hệ thống bằng cách copy file thực thi vào thư mục autorun:

%Startup%\siszpe32.exe

và tạo ra những file có dạng như sau:

%appdata%\avdrn.dat

Về phương thức Payload, chúng thường xuyên kết nối tới server:

http://*****lo.ru

nơi chúng gửi đi những yêu cầu như sau:

uid=&first=1&guid=880941764&v=15&rnd=8520045

Trang 3

Và kết quả là chương trình sẽ nhận lại lệnh, mã cụ thể để tải các ứng dụng malware khác, chúng sẽ được lưu tại thư mục sau và tự động kích hoạt:

%windir%\Temp\.exe

Sau đó chúng tiếp tục gửi đi những yêu cầu khác:

action=report&guid=0&rnd=8520045&guid=&entity=1260187840:unique_start

;

1260188029:unique_start;1260433697:unique_start;1260199741:unique_start

những dữ liệu này thông báo với hệ thống server rằng máy tính của nạn nhân đã bị lây nhiễm

Ngày đăng: 06/03/2014, 10:20

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w