TIN VẮN:

Backdoor.Win32.Rbot.wbg: Chiếm quyền điều khiển hệ thống, phát tán mã độc

12/07/2011 10:28:41 AM         

1. Tên gọi
Net-Worm.Spybot.C!rem [PCTools], W32.Spybot.Worm [Symantec], Backdoor.Win32.Rbot.wbg [Kaspersky Lab], W32/Spybot.worm.gen [McAfee], Mal/Emogen-Y [Sophos], Trojan:Win32/Ircbrute [Microsoft], Backdoor.Rbot [Ikarus]
2. Mô tả
Là một ứng dụng của Windows có dung lượng 45.780 byte, được viết bằng ngôn ngữ C++. Backdoor này cho phép hacker truy cập từ xa vào máy tính bị nhiễm, nhằm ăn cắp thông tin, điều khiển máy tính thực hiện các cuộc tấn công vào hệ thống.
3. Quá trình lây nhiễm
B1: Backdoor sẽ kiểm tra xem trên máy tính nạn nhân có hệ thống bảo vệ hoặc phần mềm chống virus hay không thông qua các liên kết:
\\.\SICE <file:///\\.\SICE>
\\.\SIWVID <file:///\\.\SIWVID>
\\.\NTICE <file:///\\.\NTICE>
\\.\REGSYS <file:///\\.\REGSYS>
\\.\REGVXG <file:///\\.\REGVXG>
\\.\FILEVXG <file:///\\.\FILEVXG>
\\.\FILEM <file:///\\.\FILEM>
\\.\TRW <file:///\\.\TRW>
\\.\ICEEXT <file:///\\.\ICEEXT>
B2: Kiểm tra các máy tính có tên trùng với các tên gọi: nepenthes, currentuser, vmware, honey, sandbox. Các phần mềm độc hại sẽ “nằm im” nếu phát hiện trên máy thỏa một trong số các điều kiện liệt kê ở trên, chúng giả vờ hiện thông báo lỗi để đánh lừa người dùng, sau đó các bản sao của phần mềm sẽ được tạo ra và lưu tại đường dẫn: % Program Files%\Common Files\System\molox.exe hoặc C:\Recycler\molox.exe
B3: Gán thuộc tính cho các tập tin trên với tập tin hệ thống và ẩn. Để đảm bảo mã độc luôn khởi động cùng máy tính, nó sẽ thêm một liên kết đến tập tin thực thi thông qua hệ thống registry:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsSystem32"="%Program Files%\Common Files\System\molox.exe"
hoặc
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsSystem32"=" C:\RECYCLER\molox.exe"
B4: Mã độc cố gắng gán tập tin của chúng vào danh sách phần mềm được phép hoạt động của Windows Firewall:
[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%Program Files%\Common Files\System\molox.exe"="%Program Files%\Common
 Files\System\molox.exe::Enabled:WindowsSystem32"
Sau đó, chúng cố gắng kết nối đến máy chủ IRC (dendp.hu) để nhận thêm mã độc mới. Khi việc kết nối hoàn tất, phần mềm độc hại sẽ được gán thêm các thông số: USER <rnd> "fo<rnd2>.net" "lol" :<rnd> và tiếp tục đợi thêm lệnh từ người “quản lý” theo quy tắc sau:

Ngoài ra, chúng còn cố gắng chiếm quyền truy cập vào máy chủ FTP và các máy tính khác để nhân rộng việc phát tán mã độc, bằng cách quét trên hệ thống mạng khi nhận được lệnh từ máy chủ sau: !scan (X) (random / logical) (ip/b/y) (vnc_mode) (transfer_mode)
[Äèàïàçîí_ñêàíèðîâàíèÿ]
4. Cách diệt
Để xử lý virus một cách thủ công, bạn thực hiện theo các bước:
B1: Sử dụng Task Manager để tắt tiến trình Molox.exe.
B2: Xóa các tập tin gốc của Backdoor (vị trí của chúng tùy thuộc vào tập tin đầu tiên do người dùng lưu vào máy tính - thư mục chức tập tin tải về).
B3: Xóa các từ khóa sau trong registry:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsSystem32"="%Program Files%\Common Files\System\molox.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsSystem32"=" C:\RECYCLER\ molox.exe"
[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"%Program Files%\Common Files\System\molox.exe"="%Program Files%\Common Files\System\molox.exe::Enabled:WindowsSystem32"
B4: Xóa tập tin molox ở đường dẫn: %Program Files%\Common Files\System\molox.exe hoặc C:\RECYCLER\ molox.exe
Nếu máy tính của bạn không có phần mềm quét virus mạnh để bảo vệ bạn có thể truy cập trang web www.kaspersky.vn để tải bản dùng thử, cách này sẽ giúp bạn xử lý virus nhanh và triệt để hơn là phương pháp thủ công.

Video sex giả mạo phát tán trên Facebook

Gần đây trên Facebook đã xuất hiện tình trạng video giả mạo (scam) dẫn đến các trang Web sex và yêu cầu người dùng đóng phí để xem được các video này.

Nạn nhân sẽ nhận được thông báo với dạng một thông tin mời gọi hấp dẫn, và yêu cầu người dùng nâng cấp phiên bản Flash Player để xem được các video này, thực chất là trình virus mạo danh được cài đặt vào máy tính người dùng. Khi nhiễm mã độc, bạn sẽ được đưa đến các trang Web sex và yêu cầu trả phí để xem chúng. Các pop-up sẽ xuất hiện liên tục trên desktop sau mỗi năm phút. Khi gặp tình trạng mô tả vừa nêu, người dùng nên hạn chế kích hoạt và cài đặt các phần mềm có nguồn gốc không rõ ràng và nên nâng cấp và trang bị cho máy tính những phần mềm diệt virus mạnh nhất để cảnh báo các đường link nguy hại trên.
PHÒNG MẠCH VIRUS
Máy tính sử dụng Windows XP, mỗi lần muốn xem các ứng dụng đang chạy, tôi thường rà soát bằng cách nhấn Ctrl+Alt+Del, tuy nhiên thông tin hiển thị không thật nhiều. Xin hỏi có tiện ích nào cũng có chức năng tương tự vậy không? (tieuthu_xinh0kdep@)
Đáp: Bạn có thể dùng một trong các tiệních sau để thực hiện công việc trên: Process Explorer (http://tinyurl.com/35y8jkj), WinUtilities Process Security 2.0 (http://tinyurl.com/688gebf),...
TRÒ CHƠI “GIẢI MÃ VIRUS”

Giải mã virus” tuần thứ 75:

Theo bạn, sản phẩm Kaspersky nào sau đây không dùng cho nhu cầu sử dụng cá nhân:

a. Kaspersky Mobile Security

b. Kaspersky Internet Security

c. Kaspersky Small Office Security

d. Không có sản phẩm nào

Câu trả lời bạn hãy gửi về địa chỉ: trochoi@baoechip.com, bài tham dự ghi rõ thông tin cá nhân Họ tên, địa chỉ, số điện thoại  số CMND để tòa soạn tiện liên lạc khi trúng giải. e-CHÍP sẽ dành hai phần quà cho hai bạn có câu trả lời đúng và nhanh nhất là key bản quyền một năm sản phẩm Kaspersky Antivirus.
Đáp án câu hỏi “Giải mã virus” tuần thứ 74:
c. Virus Total là một dịch vụ quét virus trực tuyến tổng hợp, cung cấp thông tin về virus lây nhiễm file (nếu có) mà không hỗ trợ chức  năng diệt virus.
Chúc mừng bạn Le Minh Phuoc <phuocungpro@gmail.com> và bạn Lưu Hoàng Hảo <haopckg@gmail.com> đã có câu trả lời đúng và gửi về tòa soạn sớm nhất. Các bạn vui lòng gửi thông tin cá nhân về tòa soạn để e-CHÍP chuyển quà nhé.
Chuyên mục được thực hiện với sự hợp tác của NTS
Bạn có thể gửi email về toasoan@baoechip.com hoặc soạn tin HOI [Nội dung câu hỏi] gửi 8575 để đặt câu hỏi virus cho Tòa soạn.
Chung nhan Tin Nhiem Mang
Bản quyền ©2011 thuộc về Trung tâm Chuyển đổi số tỉnh Quảng Ngãi
Địa chỉ: 118 Hùng Vương, thành phố Quảng Ngãi, tỉnh Quảng Ngãi.
Điện thoại: Hỗ trợ chữ ký số: 0255 3828022  - Trung tâm Dữ liệu tỉnh: 02553 847768  - Hỗ trợ kỹ thuật: 0255 3 718 167 - Giám đốc: Di động: 0941.121.279 - Zalo: 0941.121.279
Email: trungtam-stttt@quangngai.gov.vn Website: nuian.vn
Số giấy phép: 02/GP-TTĐT cấp ngày 30/5/2018 của Sở Thông tin và Truyền thông Quảng Ngãi
 
THỐNG KÊ TRUY CẬP
  • 262 Đang truy cập:
  • Tổng lượt: