Mô tả mẫu P2P-Worm.Win32.BlackControl.g

Mô tả về mẫu P2P-Worm.Win32.BlackControl.g.Với tên gọi P2P Worm – chúng chủ yếu lây lan qua mô hình chia sẻ mạng ngang hàng (như Kazaa, Grokster, EDonkey, FastTrack, Gnutella … ), hầu hết hoạt động theo cách thức khá đơn giản: để xâm nhập vào mạng P2P, tất cả những gì chúng cần làm là tự sao chép chính nó vào các thư mục chia sẻ – những thư mục như này thường ở trên các máy local. Và mô hình mạng P2P sẽ “vô tình” làm nốt phần việc còn lại: mỗi khi yêu cầu tìm thấy 1 tập...
Nội dung trích xuất từ tài liệu:
Mô tả mẫu P2P-Worm.Win32.BlackControl.gMô tả về mẫu P2P-Worm.Win32.BlackControl.gVới tên gọi P2P Worm – chúng chủ yếu lây lan qua mô hình chia sẻmạng ngang hàng (như Kazaa, Grokster, EDonkey, FastTrack, Gnutella… ), hầu hết hoạt động theo cách thức khá đơn giản: để xâm nhập vàomạng P2P, tất cả những gì chúng cần làm là tự sao chép chính nó vào cácthư mục chia sẻ – những thư mục như này thường ở trên các máy local. Vàmô hình mạng P2P sẽ “vô tình” làm nốt phần việc còn lại: mỗi khi yêu cầutìm thấy 1 tập tin nào đó được thực hiện, nó sẽ thông báo cho người dùngrằng những tập tin đó có thể được tải về (từ máy tính đã bị lây nhiễm).Ngoài ra, còn có 1 số loại P2P-Worm với cơ chế hoạt động và lây nhiễmphức tạp hơn rất nhiều: chúng bắt chước mô hình mạng của 1 hệ thống chiasẻ dữ liệu cụ thể, đồng thời phản hồi lại tất cả các yêu cầu, truy vấn tìm kiếmtừ phía người sử dụng.Mẫu phần mềm độc hại này được phát hiện vào ngày 18 / 08 /2010 lúc 13:59GMT, bắt đầu lây lan và hoạt động cùng ngày 18/08/2010 lúc 20:24 GMT,được thông bố đầy đủ thông tin nhận diện chỉ sau đó 2 ngày tức là20/08/2010 lúc 09:51 GMT.Mô tả về mặt kỹ thuậtĐể hoạt động, những loại sâu này ngăn chặn toàn bộ yêu cầu của người sửdụng và chuyển hướng tất cả tới đường dẫn URL có chứa mã độc. Đồng thời,chúng còn đi kèm với công cụ chuyên để gửi những tin nhắn lừa đảo tới phíangười dùng. Chúng chủ yếu lan truyền qua email và mạng ngang hàng P2P.Về bản chất, chúng là những file Windows PE EXE, với dung lượng khoảng300KB và mã nguồn của chúng được viết bằng ngôn ngữ C++.Khi được kích hoạt, chúng sẽ tự động sao chép các file thực thi vào nhữngthư mục hệ thống của Windows:%system%HPWuSchdq.exeĐồng thời tiếp tục giải nén các gói đi kèm và các file thực thi khác trên ổcứng – đây thực chất là những phần khác nhau của các chương trình độc hại:%appdata%SystemProclsass.exeVà để đảm bảo rằng chúng sẽ được tự kích hoạt mỗi khi hệ điều hành khởiđộng, các Trojan này tạo các khóa autorun sau trong registry:[HKÑUSoftwareMicrosoftWindowsCurrentVersionRun]HP Software Updater v1.2=%system%HPWuSchdq.exe[HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]RTHDBPL=%appdata%SystemProclsass.exeMặt khác, chúng tự “đăng ký” vào trong danh sách các ứng dụng an toàn củaWindows firewall:[HKLMSYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuth orizedApplicationsList]%system%HPWuSchdq.exe=%system%HPWuSchdq.exe:*:Enabled:ExplorerVà chúng còn tiếp tục tạo ra các khóa lưu trữ thông tin và dữ liệu:[HKÑUIdentities]Curr versionInst DateLast DateSend InstFirst StartPopup countPopup datePopup timeKillSelfPhân tích về quá trình PayloadKhi cài đặt thành công, chúng sẽ gửi thông báo “infection successful” tớiserver C&C tại địa chỉ sau:http://contr***.com/inst.php?aid=blackoutYêu cầu thông tin địa chỉ IP của máy tính nạn nhân từ website sau để xácđịnh vị trí:http://whatis***.com/automation/n09230945.aspĐồng thời, chúng “theo dõi” dấu vết của các trình duyệt sau:Internet ExplorerOperaGoogle ChromeMozilla FirefoxNếu người dùng truy cập vào những trang web với header có chứa 1 hoặcnhiều từ khóa sau:cialis pharma casino finance mortgage insurance gambling healthhotel travel antivirus antivir pocker poker video vocations designgraphicfootball footbal estate baseball books gifts money spyware credit loansdatingmyspace virus verizon amazon iphone software mobile music craigslistsportmedical school wallpaper military weather twitter fashion spybot tradingtramadol flower cigarettes doctor flights airlines comcastthì chúng sẽ lập tức ngăn chặn và chuyển hướng tất cả tới địa chỉ sau:http://oxobla***.com/se.php?pop=1&aid=YmxhY2tvdXQA9D8&sid=&key=với là số ngẫu nhiên, và là 1 trong số các từ khóa liệt kêbên trên. Những đoạn mã độc này đồng thời theo dõi tất cả các yêu cầu tìmkiếm từ người dùng với những Search Engine sau:googleyahoolivemsnbingyoutobeVà dữ liệu tìm kiếm sẽ được gửi tới đường dẫn URL sau:http://tetro***.com/request.php?aid=blackout&ver=25Mặt khác, chúng thu thập tất cả các địa chỉ email được lưu trữ trong máy tínhvà gửi những những mẩu thư rác như sau tới họ:Nếu để ý 1 chút, bạn sẽ thấy đường dẫn màu xanh “visit our verificationpage” là 1 mẩu tin nhắn giả mạo, sẽ đưa người dùng đến trang web lừa đảocó dạng http://barc***.ath.cx/LogIn.html được điều khiển trực tiếp bởi tintặc. Khi đã truy cập vào trang web đó, hệ thống sẽ yêu cầu họ cung cấp thôngtin tài khoản ngân hàng trực tuyến Barclays Bank. Đồng thời, chúng sẽ ngắttất cả các hoạt động của những chương trình bảo mật và an ninh phổ biếnnhư: Kaspersky Anti-Virus, Antivirus System Tray Tool, Avira InternetSecurity, AntiVir PersonalEdition Classic Service, Rising ProcessCommunication Center …Đồng thời, chúng sẽ ...