Tìm hiểu về phần mềm độc hại Backdoor.Win32.Bredolab.eua

Tìm hiểu về phần mềm độc hại Backdoor.Win32.Bredolab.euaKhái niệm backdoor được dùng để chỉ những phần mềm độc hại, được tạo ra để cài, phát tán mã độc vào máy tính người của người dùng. Nếu xét về khía cạnh chức năng và kỹ thuật, Backdoor khá giống với hệ thống quản lý và điều phối phần mềm. Những ứng dụng độc hại này được tạo ra để làm bất cứ yêu cầu gì mà tin tặc muốn: gửi và nhận dữ liệu, kích hoạt, sử dụng và xóa bất cứ file nào đó, hiển thị thông báo lỗi, tự...
Nội dung trích xuất từ tài liệu:
Tìm hiểu về phần mềm độc hại Backdoor.Win32.Bredolab.eua Tìm hiểu về phần mềm độc hại Backdoor.Win32.Bredolab.euaKhái niệm backdoor được dùng để chỉ nhữngphần mềm độc hại, được tạo ra để cài, pháttán mã độc vào máy tính người của ngườidùng.Nếu xét về khía cạnh chức năng và kỹ thuật,Backdoor khá giống với hệ thống quản lý vàđiều phối phần mềm. Những ứng dụng độc hạinày được tạo ra để làm bất cứ yêu cầu gì mà tintặc muốn: gửi và nhận dữ liệu, kích hoạt, sửdụng và xóa bất cứ file nào đó, hiển thị thôngbáo lỗi, tự khởi động lại máy tính …Những chương trình như này thường được sửdụng để liên kết những nhóm máy tính bị lâynhiễm để tạo nên mô hình mạng botnet hoặczombie thường gặp. Và những kẻ đứng đằng sautổ chức này có thể dễ dàng tập trung 1 số lượnglớn hoặc rất lớn các máy tính – lúc này đã trởthành công cụ cho tin tặc, nhằm thực hiệnnhững âm mưu hoặc mục đích xấu.1 bộ phận khác của Backdoor cũng có khả nănglây lan và hoạt động giống hệt với Net-Worm,chúng ta có thể phân biệt chúng qua khả nănglây lan, Backdoor không thể tự nhân bản và lâylan, trái ngược hoàn toàn với Net-Worm. Nhưngchỉ cần nhận được lệnh đặc biệt từ phía tin tặc,chúng sẽ đồng loạt lây lan và sản sinh với sốlượng không thể kiểm soát được.Tại bài viết này, chúng ta sẽ cùng thảo luận vềmẫu Backdoor.Win32.Bredolab.eua (được đặttên bởi Kaspersky), hoặc còn được biết đến dướitên gọi: - Trojan: Bredolab!n (McAfee) - Mal/BredoPk-B (Sophos) - Trj/Sinowal.DW (Panda) - TrojanDownloader:Win32/Bredolab.AA(MS(OneCare)) - Trojan.Botnetlog.126 (DrWeb) - Win32/TrojanDownloader.Bredolab.BE trojan(Nod32) - Trojan.Downloader.Bredolab.EK (BitDef7) - Backdoor.Bredolab.CNS (VirusBuster) - Trojan.Win32.Bredolab (Ikarus) - Cryptic.AGF (AVG) - TR/Crypt.XPACK.Gen (AVIRA) - W32/Bredolab.TP (Norman) - Trojan.Win32.Generic.521C7EF8 (Rising) - Backdoor.Win32.Bredolab.eua [AVP](FSecure) - Trojan-Downloader.Win32.Bredolab(Sunbelt) - Backdoor.Bredolab.CNS (VirusBusterBeta)Chúng được phát hiện vào ngày 3/6/2010 lúc16:16 GMT, “rục rịch” hoạt động tại 4/6/2010lúc 03:28 GMT, và các thông tin phân tích chitiết được đăng tải vào ngày 12/7/2010 lúc 11:33GMT.Miêu tả chi tiết về mặt kỹ thuậtVề bản chất, những chương trình mã độc nhưthế này thường được quản lý bởi server riêng, vàcó nhiệm vụ tải các malware khác về máy tínhđã bị lây nhiễm.Như tất cả các chương trình độc hại khác, chúngtự kích hoạt cơ chế khởi động cùng hệ thốngbằng cách copy file thực thi vào thư mụcautorun:%Startup%siszpe32.exevà tạo ra những file có dạng như sau:%appdata%avdrn.datVề phương thức Payload, chúng thường xuyênkết nối tới server:http://*****lo.runơi chúng gửi đi những yêu cầu như sau:GET/new/controller.php?action=bot&entity_list=&uid=&first=1&guid=880941764&v=15&rnd=8520045Và kết quả là chương trình sẽ nhận lại lệnh, mãcụ thể để tải các ứng dụng malware khác, chúngsẽ được lưu tại thư mục sau và tự động kíchhoạt:%windir%Temp.exeSau đó chúng tiếp tục gửi đi những yêu cầukhác:GET /new/controller.php?action=report&guid=0&rnd=8520045&guid=&entity=1260187840:unique_start;1260188029:unique_start;1260433697:unique_start;1260199741:unique_startnhững dữ liệu này thông báo với hệ thống serverrằng máy tính của nạn nhân đã bị lây nhiễm.