Mô tả về mẫu P2P-Worm.Win32.BlackControl.g

Mô tả về mẫu P2P-Worm.Win32.BlackControl.gVới tên gọi P2P Worm – chúng chủ yếu lây lan qua mô hình chia sẻ mạng ngang hàng (như Kazaa, Grokster, EDonkey, FastTrack, Gnutella … ), hầu hết hoạt động theo cách thức khá đơn giản: để xâm nhập vào mạng P2P, tất cả những gì chúng cần làm là tự sao chép chính nó vào các thư mục chia sẻ – những thư mục như này thường ở trên các máy local. Và mô hình mạng P2P sẽ “vô tình” làm nốt phần việc còn lại: mỗi khi yêu cầu tìm thấy 1 tập...
Nội dung trích xuất từ tài liệu:
Mô tả về mẫu P2P-Worm.Win32.BlackControl.g Mô tả về mẫu P2P-Worm.Win32.BlackControl.gVới tên gọi P2P Worm – chúng chủ yếu lây lan qua mô hình chia sẻmạng ngang hàng (như Kazaa, Grokster, EDonkey, FastTrack,Gnutella … ), hầu hết hoạt động theo cách thức khá đơn giản: để xâmnhập vào mạng P2P, tất cả những gì chúng cần làm là tự sao chép chínhnó vào các thư mục chia sẻ – những thư mục như này thường ở trên cácmáy local. Và mô hình mạng P2P sẽ “vô tình” làm nốt phần việc còn lại:mỗi khi yêu cầu tìm thấy 1 tập tin nào đó được thực hiện, nó sẽ thông báocho người dùng rằng những tập tin đó có thể được tải về (từ máy tính đã bịlây nhiễm).Ngoài ra, còn có 1 số loại P2P-Worm với cơ chế hoạt động và lây nhiễmphức tạp hơn rất nhiều: chúng bắt chước mô hình mạng của 1 hệ thống chiasẻ dữ liệu cụ thể, đồng thời phản hồi lại tất cả các yêu cầu, truy vấn tìmkiếm từ phía người sử dụng.Mẫu phần mềm độc hại này được phát hiện vào ngày 18 / 08 /2010 lúc13:59 GMT, bắt đầu lây lan và hoạt động cùng ngày 18/08/2010 lúc 20:24GMT, được thông bố đầy đủ thông tin nhận diện chỉ sau đó 2 ngày tức là20/08/2010 lúc 09:51 GMT.Mô tả về mặt kỹ thuậtĐể hoạt động, những loại sâu này ngăn chặn toàn bộ yêu cầu của người sửdụng và chuyển hướng tất cả tới đường dẫn URL có chứa mã độc. Đồngthời, chúng còn đi kèm với công cụ chuyên để gửi những tin nhắn lừa đảotới phía người dùng. Chúng chủ yếu lan truyền qua email và mạng nganghàng P2P. Về bản chất, chúng là những file Windows PE EXE, với dunglượng khoảng 300KB và mã nguồn của chúng được viết bằng ngôn ngữC++.Khi được kích hoạt, chúng sẽ tự động sao chép các file thực thi vào nhữngthư mục hệ thống của Windows:%system%HPWuSchdq.exeĐồng thời tiếp tục giải nén các gói đi kèm và các file thực thi khác trên ổcứng – đây thực chất là những phần khác nhau của các chương trình độchại:%appdata%SystemProclsass.exeVà để đảm bảo rằng chúng sẽ được tự kích hoạt mỗi khi hệ điều hành khởiđộng, các Trojan này tạo các khóa autorun sau trong registry:[HKÑUSoftwareMicrosoftWindowsCurrentVersionRun]HP Software Updaterv1.2=%system%HPWuSchdq.exe[HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]RTHDBPL=%appdata%SystemProclsass.exeMặt khác, chúng tự “đăng ký” vào trong danh sách các ứng dụng an toàncủa Windows firewall:[HKLMSYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList]%system%HPWuSchdq.exe=%system%HPWuSchdq.exe:*:Enabled:ExplorerVà chúng còn tiếp tục tạo ra các khóa lưu trữ thông tin và dữ liệu:[HKÑUIdentities]Curr versionInst DateLast DateSend InstFirst StartPopup countPopup datePopup timeKillSelfPhân tích về quá trình PayloadKhi cài đặt thành công, chúng sẽ gửi thông báo “infection successful” tớiserver C&C tại địa chỉ sau:http://contr***.com/inst.php?aid=blackoutYêu cầu thông tin địa chỉ IP của máy tính nạn nhân từ website sau để xácđịnh vị trí:http://whatis***.com/automation/n09230945.aspĐồng thời, chúng “theo dõi” dấu vết của các trình duyệt sau:Internet ExplorerOperaGoogle ChromeMozilla FirefoxNếu người dùng truy cập vào những trang web với header có chứa 1 hoặcnhiều từ khóa sau:cialis pharma casino finance mortgage insurance gambling healthhotel travel antivirus antivir pocker poker video vocations designgraphicfootball footbal estate baseball books gifts money spyware credit loansdatingmyspace virus verizon amazon iphone software mobile music craigslistsportmedical school wallpaper military weather twitter fashion spybottradingtramadol flower cigarettes doctor flights airlines comcastthì chúng sẽ lập tức ngăn chặn và chuyển hướng tất cả tới địa chỉ sau:http://oxobla***.com/se.php?pop=1&aid=YmxhY2tvdXQA9D8&sid=&key=với là số ngẫu nhiên, và là 1 trong số các từ khóa liệt kêbên trên. Những đoạn mã độc này đồng thời theo dõi tất cả các yêu cầu tìmkiếm từ người dùng với những Search Engine sau:googleyahoolivemsnbingyoutobeVà dữ liệu tìm kiếm sẽ được gửi tới đường dẫn URL sau:http://tetro***.com/request.php?aid=blackout&ver=25Mặt khác, chúng thu thập tất cả các địa chỉ email được lưu trữ trong máytính và gửi những những mẩu thư rác như sau tới họ:Nếu để ý 1 chút, bạn sẽ thấy đường dẫn màu xanh “visit our verificationpage” là 1 mẩu tin nhắn giả mạo, sẽ đưa người dùng đến trang web lừa đảocó dạng http://barc***.ath.cx/LogIn.html được điều khiển trực tiếp bởitin tặc. Khi đã truy cập vào trang web đó, hệ thống sẽ yêu cầu họ cung cấpthông tin tài khoản ngân hàng trực tuyến Barclays Bank. Đồng thời, chúngsẽ ngắt tất cả các hoạt động của những chương trình bảo mật và an ninhphổ biến như: Kaspersky Anti-Virus, Antivirus System Tray Tool, AviraInternet Security, AntiVir PersonalEdition Classic Service, Rising ProcessCommunication Center …Đồng thời, chúng sẽ tự xóa các thông tin về chúng từ các khóa autorun củaregistry:[HKLMSOFTWAREMicrosoftWindowsCurrentVersi ...