Mô tả về mẫu Trojan-PSW.Win32.Qbot.mk docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (135.51 KB, 7 trang )
Mô tả về mẫu Trojan-PSW.Win32.Qbot.mk
Được xếp vào loại Trojan-PSW – với mục đích lấy trộm các thông tin cá
nhân, các tài khoản bao gồm tên đăng nhập và mật khẩu truy cập của
người sử dụng trên máy tính bị lây nhiễm. PSW là thuật ngữ viết tắt của
Password Stealing Ware.
Khi được kích hoạt trên máy tính, Trojan PSW sẽ tiến hành tìm kiếm tất cả
các file hệ thống có thể lưu trữ các thông tin xác nhận hoặc khóa registry.
Nếu mẫu dữ liệu như vậy được tìm thấy, chúng sẽ lập tức gửi về tài khoản
của kẻ điều khiển đứng đằng sau thông qua email, FTP, website hoặc bất cứ
hình thức nào phù hợp. 1 số loại Trojan tương tự còn đánh cắp thông tin đăng
ký xác nhận phần mềm bản quyền của người sử dụng.
Trojan-PSW.Win32.Qbot.mk, còn được gọi là Trojan-
Downloader.Win32.Piker.cjs – tất cả đều được Kaspersky phát hiện và phân
loại.
Chúng được phát hiện lần đầu tiên vào ngày 27 / 05 / 2010 lúc 11:14 GMT,
bắt đầu hoạt động cùng ngày - 27 / 05 / 2010 lúc 18:10 GMT, nhưng cho đến
ngày 02 / 07 / 2010 - 08:11 GMT thì những thông tin phân tích chi tiết mới
được công bố.
Phân tích chi tiết về mặt kỹ thuật
Bên ngoài nhiệm vụ chính là đánh cắp thông tin tài khoản của người dùng,
chúng còn đảm nhiệm vai trò cầu nối để tin tặc đột nhập và điều khiển máy
tính của nạn nhân. Về bản chất, chúng là những file Windows PE dưới dạng
*.exe, với dung lượng trung bình khoảng 85 kilobyte và bộ mã nguồn của
chúng được viết bằng ngôn ngữ C.
Trong quá trình xâm nhập vào máy tính, chúng sẽ sản sinh những file sau từ
phần thân bên trong:
%allusersprofile%\qbothome\qbotinj.exe
%allusersprofile%\qbothome\qbotnti.exe
%allusersprofile%\qbothome\alias_qbotnti.exe
%allusersprofile%\qbothome\qbot.dll
%allusersprofile%\qbothome\msadvapi32.dll
%allusersprofile%\qbothome\q1.<rnd>
với <rnd> là chuỗi những chữ số ngẫu nhiên. Và những file đó còn được tạo
ra ở những thư mục bên ngoài. Bên cạnh đó, chúng chỉnh sửa khóa Registry
sau để tự động kích hoạt khi hệ thống khởi động:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Và khóa registry nguyên bản sẽ được chuyển thành:
""%allusersprofile%\qbothome\
qbotinj.exe" "%allusersprofile%\qbothome\qbot.dll" /c "<original value>"
với <original value> là giá trị nguyên gốc của khóa.
Quá trình lây lan
Chúng có cơ chế tự nhân bản và lây lan qua các máy tính trong cùng hệ thống
mạng bằng cách tự sao chép qua những thư mục hoặc ổ đĩa sau:
C$\Windows\q.dll
C$\Windows\q1.<rnd>
ADMIN$\q.dll
ADMIN$\q1.<rnd>
Phương thức Payload
Sau khi xâm nhập thành công, chúng sẽ tiến hành phân tích và tải những file
cấu hình từ các địa chỉ sau:
dcdcdc2121cdsf***.com/crontab.cb
dcdcdc2121cds**fd.com/updates.cb
dcdcdc2121c**fdfd.com/updates1.cb
dcdcdc**21cdsfdfd.com/_qbot.cb
Chức năng chính của chúng là thu thập và lưu giữ tất cả những thông tin khi
người dùng khai báo vào những form có sẵn trên website, ví dụ đối với hệ
thống ngân hàng, tài khoản, thanh toán trực tuyến như: Wells Fargo Bank,
Bank Of America, Key Bank, PNC Bank, Fifth Third Bank, Regions
Financial Corporation …
Đến lúc này, chúng có thể tự chèn thêm những thư viện liên kết động -
dynamic-link library (qbot.dll) vào các địa chỉ trống của tiến trình
iexplore.exe (trình duyệt Internet Explorer)
Mặt khác, chúng còn đánh cắp các thông tin, dữ liệu sau:
- Tài khoản Microsoft Outlook
- Tên đăng nhập và mật khẩu MSN
- Thông tin nhận dạng của các website
- Dữ liệu lưu trữ trong Cookie
- Các thông tin xác nhận dưới dạng chữ ký kỹ thuật số
Thông qua tài khoản hoặc email của tin tặc liệt kê trong các file cấu hình
được tải về lúc trước, chúng sẽ gửi những thông tin đánh cắp được tới server
của tin tặc.
Bên cạnh đó, Trojan-PSW.Win32.Qbot.mk còn sử dụng các file cấu hình trên
để lấy số địa chỉ và kênh của server IRC (Internet Relay Chat) – được tin tặc
áp dụng như 1 phương pháp phòng bị để điều khiển những máy tính bị lây
nhiễm. Thực chất, tin tặc sử dụng IRC để gán quyền truy cập tới các file hệ
thống bên trong máy tính, cài đặt và kích hoạt các loại mã độc khác. Hoặc
chúng có thể xóa bỏ các mã độc này khỏi máy tính chỉ với 1 câu lệnh – để
tránh bị phát hiện bởi các chương trình bảo mật.
Những bản cập nhật của Trojan-PSW.Win32.Qbot.mk thường được tải về từ
địa chỉ sau:
http://nt0***.cn/cgi-bin/jl/jlo**der.pl
Đồng thời với quá trình này, chúng sẽ thu thập và gửi thông tin cụ thể của
máy tính như tên máy, địa chỉ IP, vị trí địa lý, các phiên bản về hệ điều hành,
ngày và giờ hệ thống … Và những thông tin này sẽ được gửi qua:
http://boogie****ekid.com/cgi-bin/cli**tinfo3.pl
