Trojan giả mạo cảnh báo bảo mật của Microsoft

Những email thường mang tựa đề "Cumulative Security Update for Internet Explorer" giả mạo cung cấp bản vá lỗi nguy hiểm cho trình duyệt Internet Explorer. Có đường liên kết cụ thể cho phép người dùng tải về bản vá.Nếu người dùng nhắp chuột vào đường liên kết đó họ sẽ được kết nối đến một máy chủ ở xa và tải về một con trojan có tên TrojanDownloader.Win32.Agent.avk. Chức năng chính của con trojan này là cầu nối giúp nhiều loại phần mềm độc hại khác xâm nhập vào hệ thống bị nhiễm.Chuyên gia nghiên cứu Lenny Zeltser của...
Nội dung trích xuất từ tài liệu:
Trojan giả mạo cảnh báo bảo mật của Microsoft Trojan giả mạo cảnh báo bảo mật của MicrosoftNhững email thường mang tựa đề Cumulative Security Updatefor Internet Explorer giả mạo cung cấp bản vá lỗi nguy hiểm chotrình duyệt Internet Explorer. Có đường liên kết cụ thể cho phépngười dùng tải về bản vá.Nếu người dùng nhắp chuột vào đường liên kết đó họ sẽ được kếtnối đến một máy chủ ở xa và tải về một con trojan có tên Trojan-Downloader.Win32.Agent.avk. Chức năng chính của con trojannày là cầu nối giúp nhiều loại phần mềm độc hại khác xâm nhậpvào hệ thống bị nhiễm.Chuyên gia nghiên cứu Lenny Zeltser của SANS Internet StormCenter - hãng phát hiện ra đợt tấn công này - nhận định mục tiêucủa tin tặc trong chiến dịch lừa đảo lần này có thể là những tênmiền và máy chủ chúng đang cần để tiếp tục mở rộng việc tấncông.Những vụ tấn công kiểu như thế này hiện vẫn lừa được không ítngười dùng. Thường người dùng không để ý đến những khác biệtgiữa một bản tin cảnh báo chính thống và giả mạo cho dù sảnphẩm giả mạo chứa những lỗi rất dễ bị phát hiện.Người dùng cần chú ý một điều Microsoft không bao giờ gửi bảntin cảnh báo thông qua email trước khi hãng phát hành bản cậpnhật định kỳ hàng tháng. Thêm vào đó đường liên kết đến bản válỗi sẽ dẫn người dùng đến chính trang cung cấp thông tin đầy đủ vềbản vá chứ không phải là một tệp tin.Virus hoạt động thông qua cơ chế gắn code vào bất cứ file tươngthích nào rồi tìm kiếm một tập lệnh nào đó để thay thế và chuyểntiếp code của virus. Nếu không tìm thấy tập lệnh, virus sẽ vẫn nằmđó nhưng không tiến hành kiểm soát thiết bị.Virus chỉ chạy trên các file có phần mở rộng ASM, và do vậy nếumuốn nhân bản, virus phải chạy kiểm tra xem máy tính có file đuôiASM hay không.ASM là phần mở rộng tên file của chương trình ngôn ngữ nguồnassembly. Khi đã lây nhiễm thành công, virus sẽ xoá sạch mànhình máy tính và hiển thị dòng thông điệp: t89.GARRA. Máy tínhsẽ vẫn hoạt động bình thường khi quá trình lây nhiễm này kếtthúc.