Cảnh báo trojan Neprodoor xuất hiện tại Việt Nam

Cảnh báo trojan Neprodoor xuất hiện tại Việt Nam.Người dùng máy tính trong nước vừa được cảnh báo về một loại trojan nguy hiểm mới có tên Neprodoor có nguồn gốc từ Nga, đã xuất hiện và phát tán trên các máy tính tại Việt Nam.Sâu máy tính mang tên Trojan.Neprodoor có xuất xứ từ Nga, được thiết kế tinh vi để qua mặt các hệ thống xác thực, tự động đăng ký tài khoản của các dịch vụ mail: hotmail, yahoo, gmail…và phát tán thư rác, trong đó không loại trừ việc tin tặc chèn thêm mã độc. Tại...
Nội dung trích xuất từ tài liệu:
Cảnh báo trojan Neprodoor xuất hiện tại Việt NamCảnh báo trojan Neprodoor xuất hiện tại Việt NamNgười dùng máy tính trong nước vừa được cảnh báo về một loại trojannguy hiểm mới có tên Neprodoor có nguồn gốc từ Nga, đã xuất hiện vàphát tán trên các máy tính tại Việt Nam.Sâu máy tính mang tên Trojan.Neprodoor có xuất xứ từ Nga, được thiết kếtinh vi để qua mặt các hệ thống xác thực, tự động đăng ký tài khoản của cácdịch vụ mail: hotmail, yahoo, gmail…và phát tán thư rác, trong đó không loạitrừ việc tin tặc chèn thêm mã độc. Tại Việt Nam, Neprodoor đã lây nhiễmvào một số máy tính và được người sử dụng gửi mẫu về trung tâm phân tíchvirus của CMC Infosec. Hoạt động lây nhiễm trên máy tính của Neprodoor.Trojan.Neprodoor được phát hiện đầu tiên vào ngày 2/3/2009 và hoạt độngnhư một mạng botnet. Chúng sử dụng những máy nạn nhân để phát tán thưrác, đồng thời kết hợp kỹ thuật rootkit (tàng hình) nên có khả năng qua mặthầu hết các sản phẩm bảo mật hiện tại.Thông qua hệ thống mạng Internet, Trojan.Neprodoor lây nhiễm vào file hệthống ndis.sys và tiêm mã độc vào file svchost.exe để thực hiện quá trìnhphát tán thư rác. Sau khi lây nhiễm thành công, trojan này sẽ giao tiếp vớimáy chủ và thực hiện bất cứ hành động nào mà máy chủ yêu cầu như: cungcấp thông tin bí mật của máy nạn nhân, tải mã nhị phân và thực hiện lệnh tấncông từ xa.Neprodoor được xây dựng với kỹ thuật tinh vi. Thông thường khi đăng kýmột tài khoản email, người dùng cần tên tài khoản, mật khẩu và mã xác thựcCAPTCHA (là một hệ thống được dùng tại các trang đăng ký, nó hiện ra cácfile ảnh chứa thông tin để từ đó xác nhận là người dùng đang thao tác chứkhông phải là các bot máy tính đang đăng ký tự động).Nhưng với sâu Neprodoor thì các tài khoản mail từ Google, Yahoo hayHotmail có thể bị đăng ký tự động vì Neprodoor có thể vô hiệu hệ thốngcaptcha bằng cách kết nối tới 1 hệ thống máy chủ thực hiện công việc này (docác hacker Nga nắm giữ). Do đó những thư rác được gửi đi từ những tàikhoản này sẽ nghiễm nhiên không bị các hệ thống mail coi là thư rác.Ông Nguyễn Hoàng Giang - Chuyên gia phân tích virus của CMC InfoSecnhận định: “Đây là một loại Trojan nguy hiểm, các biến thể mới luôn đượccập nhật từ hệ thống điều khiển máy chủ của kẻ tấn công. Máy nhiễm bệnh sẽtrở thành một máy zombie trong hệ thống botnet của chúng”Khi nhiễm Trojan.Neprodoor người dùng có thể thấy được sự thay đổi tronghoạt động của hệ thống như ngốn bộ nhớ, đường truyền băng thông bị ảnhhưởng, xuất hiện các tiến trình svchost.exe, reader_s.exe tự tạo ra, biểu tượngkết nối mạng luôn sáng mặc dù người dùng không sử dụng các chương trìnhliên quan tới Internet.Hầu hết các hệ điều hành đều có khả năng bị nhiễm Trojan này: Windows2000, Windows 95, Windows 98, Windows Me, Windows NT, WindowsServer 2003, Windows Vista, Windows XP.Đối tượng mà hacker phát tán Neprodoor hướng tới không chỉ là các doanhnghiệp mà ngay cả người dùng cá nhân cũng trở thành đích ngắm. Hiện naychưa có một con số thống kê cụ thể nào về lượng máy tính bị nhiễmNeprodoor vì thực tế Trojan này hoạt động rất âm thầm, nó không bùng pháttại một thời điểm cụ thể và đây mới chỉ là bước dạo đầu cho một chiến dịchspam trong thời gian sắp tới.Hiện tại, công ty CMC InfoSec khuyến cáo người dùng nên tránh vào nhữngtrang web nhạy cảm hay những trang web lạ và luôn đảm bảo chương trìnhAntivirus được cập nhật thường xuyên để “phòng bệnh hơn chữa bệnh”.Hiện, chưa một phần mềm diệt virus, mã độc nào trên thế giới diệt triệt đểloại sâu này khi chúng nhiễm vào hệ thống. Người dùng có thể thực hiệnloại bỏ Trojan này bằng tay như sau:1. Ngắt kết nối mạng2. Vô hiệu hóa System Restore3. Sử dụng phần mềm Process Explorer của Microsoft kill các process:reader_s.exe và những process có tên svchost.exe có trong nhánhexplorer.exe.4. Vào Registry, tìm tới khóa:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunXóa key reader_s có chứa nội dung C: WINDOWSsystem32 eader_s.exe5. Vào C: WINDOWS system32 -> xóa file reader_s.exe6. Do bị nhiễm trong file hệ thống ndis.sys nên cần phải dùng đĩa càiwindows để restore lại file ndis.sys gốc trongC:WINDOWSsystem32drivers7. Để đảm bảo chắc chắn rằng mối nguy hiểm đã hoàn toàn được loại bỏ, hãythực hiện quét toàn bộ máy tính với phần mềm antispam, antivirus được cậpnhật phiên bản mới nhất. ...