1. Trang chủ
  2. » Công Nghệ Thông Tin

Mô tả về mẫu P2P-Worm.Win32.BlackControl.g docx

18 239 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 18
Dung lượng 285,52 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Với tên gọi P2P Worm – chúng chủ yếu lây lan qua mô hình chia sẻ mạng ngang hàng như Kazaa, Grokster, EDonkey, FastTrack, Gnutella … , hầu hết hoạt động theo cách thức khá đơn giản: để

Trang 1

Mô tả về mẫu P2P-Worm.Win32.BlackControl.g

Trang 2

Với tên gọi P2P Worm – chúng chủ yếu lây lan qua mô hình chia sẻ mạng ngang hàng (như Kazaa, Grokster, EDonkey, FastTrack, Gnutella

… ), hầu hết hoạt động theo cách thức khá đơn giản: để xâm nhập vào mạng P2P, tất cả những gì chúng cần làm là tự sao chép chính nó vào các

thư mục chia sẻ – những thư mục như này thường ở trên các máy local Và

mô hình mạng P2P sẽ “vô tình” làm nốt phần việc còn lại: mỗi khi yêu cầu tìm thấy 1 tập tin nào đó được thực hiện, nó sẽ thông báo cho người dùng rằng những tập tin đó có thể được tải về (từ máy tính đã bị lây nhiễm)

Ngoài ra, còn có 1 số loại P2P-Worm với cơ chế hoạt động và lây nhiễm phức tạp hơn rất nhiều: chúng bắt chước mô hình mạng của 1 hệ thống chia

sẻ dữ liệu cụ thể, đồng thời phản hồi lại tất cả các yêu cầu, truy vấn tìm kiếm

từ phía người sử dụng

Mẫu phần mềm độc hại này được phát hiện vào ngày 18 / 08 /2010 lúc 13:59 GMT, bắt đầu lây lan và hoạt động cùng ngày 18/08/2010 lúc 20:24 GMT, được thông bố đầy đủ thông tin nhận diện chỉ sau đó 2 ngày tức là

20/08/2010 lúc 09:51 GMT

Mô tả về mặt kỹ thuật

Trang 3

Để hoạt động, những loại sâu này ngăn chặn toàn bộ yêu cầu của người sử dụng và chuyển hướng tất cả tới đường dẫn URL có chứa mã độc Đồng thời, chúng còn đi kèm với công cụ chuyên để gửi những tin nhắn lừa đảo tới phía người dùng Chúng chủ yếu lan truyền qua email và mạng ngang hàng P2P

Về bản chất, chúng là những file Windows PE EXE, với dung lượng khoảng 300KB và mã nguồn của chúng được viết bằng ngôn ngữ C++

Khi được kích hoạt, chúng sẽ tự động sao chép các file thực thi vào những thư mục hệ thống của Windows:

%system%\HPWuSchdq.exe

Đồng thời tiếp tục giải nén các gói đi kèm và các file thực thi khác trên ổ cứng – đây thực chất là những phần khác nhau của các chương trình độc hại:

%appdata%\SystemProc\lsass.exe

Và để đảm bảo rằng chúng sẽ được tự kích hoạt mỗi khi hệ điều hành khởi động, các Trojan này tạo các khóa autorun sau trong registry:

[HKÑU\Software\Microsoft\Windows\CurrentVersion\Run]

"HP Software Updater v1.2"="%system%\HPWuSchdq.exe"

Trang 4

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Expl orer\Run]

"RTHDBPL"="%appdata%\SystemProc\lsass.exe"

Mặt khác, chúng tự “đăng ký” vào trong danh sách các ứng dụng an toàn của Windows firewall:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameter s\

FirewallPolicy\StandardProfile\Auth orizedApplications\List]

"%system%\HPWuSchdq.exe"="%system%\HPWuSchdq.exe:*:Enabl ed:Explorer"

Và chúng còn tiếp tục tạo ra các khóa lưu trữ thông tin và dữ liệu:

[HKÑU\Identities]

"Curr version"

"Inst Date"

"Last Date"

"Send Inst"

Trang 5

"First Start"

"Popup count"

"Popup date"

"Popup time"

"KillSelf"

Phân tích về quá trình Payload

Khi cài đặt thành công, chúng sẽ gửi thông báo “infection successful” tới server C&C tại địa chỉ sau:

http://contr***.com/inst.php?aid=blackout

Yêu cầu thông tin địa chỉ IP của máy tính nạn nhân từ website sau để xác định vị trí:

http://whatis***.com/automation/n09230945.asp

Đồng thời, chúng “theo dõi” dấu vết của các trình duyệt sau:

Internet Explorer

Opera

Trang 6

Google Chrome

Mozilla Firefox

Nếu người dùng truy cập vào những trang web với header có chứa 1 hoặc nhiều từ khóa sau:

cialis pharma casino finance mortgage insurance gambling health

hotel travel antivirus antivir pocker poker video vocations design

graphic

football footbal estate baseball books gifts money spyware credit loans dating

myspace virus verizon amazon iphone software mobile music craigslist sport

medical school wallpaper military weather twitter fashion spybot trading tramadol flower cigarettes doctor flights airlines comcast

thì chúng sẽ lập tức ngăn chặn và chuyển hướng tất cả tới địa chỉ sau:

http://oxobla***.com/se.php?pop=1&aid=YmxhY2tvd

XQA9D8&sid=<rnd>&key=<keyword>

Trang 7

với <rnd> là số ngẫu nhiên, và <keyword> là 1 trong số các từ khóa liệt kê

bên trên Những đoạn mã độc này đồng thời theo dõi tất cả các yêu cầu tìm kiếm từ người dùng với những Search Engine sau:

google

yahoo

live

msn

bing

youtobe

Và dữ liệu tìm kiếm sẽ được gửi tới đường dẫn URL sau:

http://tetro***.com/request.php?aid=blackout&ver=25

Mặt khác, chúng thu thập tất cả các địa chỉ email được lưu trữ trong máy tính

và gửi những những mẩu thư rác như sau tới họ:

Trang 8

Nếu để ý 1 chút, bạn sẽ thấy đường dẫn màu xanh “visit our verification page” là 1 mẩu tin nhắn giả mạo, sẽ đưa người dùng đến trang web lừa đảo

có dạng http://barc***.ath.cx/LogIn.html được điều khiển trực tiếp bởi tin

tặc Khi đã truy cập vào trang web đó, hệ thống sẽ yêu cầu họ cung cấp thông tin tài khoản ngân hàng trực tuyến Barclays Bank Đồng thời, chúng sẽ ngắt tất cả các hoạt động của những chương trình bảo mật và an ninh phổ biến

như: Kaspersky Anti-Virus, Antivirus System Tray Tool, Avira Internet

Security, AntiVir PersonalEdition Classic Service, Rising Process

Communication Center …

Đồng thời, chúng sẽ tự xóa các thông tin về chúng từ các khóa autorun của registry:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Trang 9

Và tiếp tục ngăn chặn các yêu cầu truy cập của người dùng tới các trang cung cấp dịch vụ an ninh, bảo mật Đồng thời xóa bỏ dịch vụ User Account

Control trong Windows Vista và 7:

[HKLM\SOFTWARE\Microsoft\Security Center]

"UACDisableNotify"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\syste m]

"EnableLUA"=dword:00000000

Tiếp tục, chúng hủy những dịch vụ hệ thống sau:

ERSvc - Error Reporting Service

wscsvc - Windows Security Center Service

Bên cạnh đó, chúng âm thầm tải các bản vá từ những địa chỉ sau:

http://simfree***.com/update.php?sd=2010-04-27&aid=blackout

http://posit***.com/update.php?sd=2010-04-27&aid=blackout

http://rts***.com/update.php?sd=2010-04-27&aid=blackout

http://qul***.com/update.php?sd=2010-04-27&aid=blackout

Trang 10

Các phiên bản tiếp theo của chúng sẽ được tải về file C:\autoexec.exe và tự động kích hoạt Sau đó file này sẽ tự động xóa bỏ

Quá trình lây lan

Về bản chất, những đoạn mã độc này lan truyền qua hình thức email bằng cách tự động gửi những đoạn tin nhắn với những file thực thi (dạng *.exe) được gắn liền dưới nhiều tên gọi khác nhau:

Trang 12

Với mô hình mạng ngang hàng P2P, chúng sẽ tự sao chép bản thân vào những thư mục chia sẻ trên hệ thống mạng:

%ProgramFiles%\winmx\shared\

%ProgramFiles%\tesla\files\

%ProgramFiles%\limewire\shared\

%ProgramFiles%\morpheus\my shared folder\

%ProgramFiles%\emule\incoming\

%ProgramFiles%\edonkey2000\incoming\

%ProgramFiles%\bearshare\shared\

Trang 13

%ProgramFiles%\grokster\my grokster\

%ProgramFiles%\icq\shared folder\

%ProgramFiles%\kazaa lite k++\my shared folder\

%ProgramFiles%\kazaa lite\my shared folder\

%ProgramFiles%\kazaa\my shared folder\

với những tên gọi đại loại như sau:

YouTubeGet 5.6.exe

Youtube Music Downloader 1.3.exe

WinRAR v3.x keygen [by HiXem].exe

Windows2008 keygen and activator.exe

[+ MrKey +] Windows XP PRO Corp SP3 valid-key generator.exe Windows Password Cracker + Elar3 key.exe

[Eni0j0 team] Windows 7 Ultimate keygen.exe

Windows 2008 Enterprise Server VMWare Virtual Machine.exe Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe

Website Hacker.exe

[Eni0j0 team] Vmvare keygen.exe

VmWare 7.x keygen.exe

Trang 14

UT 2003 KeyGen.exe

Twitter FriendAdder 2.3.9.exe

Tuneup Ultilities 2010.exe

[antihack tool] Trojan Killer v2.9.4173.exe

Total Commander7 license+keygen.exe

Super Utilities Pro 2009 11.0.exe

Sub7 2.5.1 Private.exe

Sophos antivirus updater bypass.exe

sdbot with NetBIOS Spread.exe

[fixed]RapidShare Killer AIO 2010.exe

Rapidshare Auto Downloader 3.8.6.exe

Power ISO v4.4 + keygen milon.exe

[patched, serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe

[patched, serial not needed] PDF to Word Converter 3.4.exe

PDF password remover (works with all acrobat reader).exe

Password Cracker.exe

Norton Internet Security 2010 crack.exe

Norton Anti-Virus 2010 Enterprise Crack.exe

Trang 15

Norton Anti-Virus 2005 Enterprise Crack.exe

NetBIOS Hacker.exe

NetBIOS Cracker.exe

[patched, serial not need] Nero 9.x keygen.exe

Myspace theme collection.exe

MSN Password Cracker.exe

Mp3 Splitter and Joiner Pro v3.48.exe

Motorola, nokia, ericsson mobil phone tools.exe

Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe Microsoft Visual Studio KeyGen.exe

Microsoft Visual C++ KeyGen.exe

Microsoft Visual Basic KeyGen.exe

McAfee Total Protection 2010 [serial patch by AnalGin].exe

Magic Video Converter 8.exe

LimeWire Pro v4.18.3 [Cracked by AnalGin].exe

L0pht 4.0 Windows Password Cracker.exe

K-Lite Mega Codec v5.2 Portable.exe

K-Lite Mega Codec v5.2.exe

Keylogger unique builder.exe

Trang 16

Kaspersky Internet Security 2010 keygen.exe

Kaspersky AntiVirus 2010 crack.exe

IP Nuker.exe

Internet Download Manager V5.exe

Image Size Reducer Pro v1.0.1.exe

ICQ Hacker Trial version [brute].exe

Hotmail Hacker [Brute method].exe

Hotmail Cracker [Brute method].exe

Half-Life 2 Downloader.exe

Grand Theft Auto IV [Offline Activation + mouse patch].exe Google SketchUp 7.1 Pro.exe

G-Force Platinum v3.7.6.exe

FTP Cracker.exe

DVD Tools Nero 10.x.x.x.exe

Download Boost 2.0.exe

Download Accelerator Plus v9.2.exe

Divx Pro 7.x version Keymaker.exe

DivX 5.x Pro KeyGen generator.exe

DCOM Exploit archive.exe

Trang 17

Daemon Tools Pro 4.8.exe

Counter-Strike Serial key generator [Miona patch].exe

CleanMyPC Registry Cleaner v6.02.exe

Brutus FTP Cracker.exe

Blaze DVD Player Pro v6.52.exe

BitDefender AntiVirus 2010 Keygen.exe

Avast 5.x Professional.exe

Avast 4.x Professional.exe

Ashampoo Snap 3.xx [Skarleot Group].exe

AOL Password Cracker.exe

AOL Instant Messenger (AIM) Hacker.exe

AnyDVD HD v.6.3.1.8 Beta incl crack.exe

Anti-Porn v13.x.x.x.exe

Alcohol 120 v1.9.x.exe

Adobe Photoshop CS4 crack by M0N5KI Hack Group.exe

Adobe Illustrator CS4 crack.exe

Adobe Acrobat Reader keygen.exe

Ad-aware 2010.exe

[patched, serial not needed] Absolute Video Converter 6.2-7.exe

Trang 18

Để ngăn chặn kịp thời và phòng chống khỏi mối hiểm họa này, người dùng luôn luôn cập nhật đầy đủ cơ sở dữ liệu nhận dạng cho chương trình bảo mật hiện thời của hệ thống, chỉ nên sử dụng các phần mềm an ninh của các hãng

có uy tín và được nhiều người biết đến, hoặc các bạn có thể tham khảo thêm

về danh sách các phần mềm an ninh sau

Ngày đăng: 28/06/2014, 18:20

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w