Kết luận của Bkis R&D

Ngày 4/2/2010, Mozilla cảnh báo trên blog của mình rằng, hai plugin dành cho trình duyệt Firefox có chứa Trojan. Hai plugin đó là Web Video Downloader Version 4.0 của Sothink chứa Win32.LdPinch.gen và Master Filer chứa Win32.Bifrose.32.Bifrose Trojan. Hiện nay cả hai add-on trên đều đã được gõ bỏ khỏi trang https://addons.mozilla.org/en-US/firefox/ (viết tắt là AMO)

Theo Mozila, máy tính của người sử dụng một khi đã cài các plugin trên sẽ bị nhiễm virus. Việc gỡ bỏ plugin sẽ không giúp loại bỏ được virus hoàn toàn mà phải sử dụng các phần mềm diệt virus để quét. Cũng theo Mozilla, đã có khá nhiều người dùng sử dụng tải và cài đặt các add-on trên. Theo thống kê trên trang AMO, giữa tháng 9/2009 và tháng 1/2010, có khoảng 600 lượt tải về Master Filer. Trong khi đó, Web Video Downloader Version 4.0 của Sothink được tải về xấp xỉ  4.000 lượt giữa tháng 2/2008 và tháng 5/ 2008.

Virus Win32/Ldpinch.gen đã được nhận diện ít nhất từ tháng 2/2008, còn Win32.Bifrose.32.Bifrose Trojan thậm chí đã được nhận diện từ năm 2006.  Như vậy, Mozilla không phát hiện ra một phần mềm chứa mã độc được nhận diện từ lâu, hơn nữa phần mềm đó lại được upload từ năm 2008. Sự việc này cùng với việc gói ngôn ngữ tiếng Việt của bản Firefox 2 bị nhiễm mã độc (https://bugzilla.mozilla.org/show_bug.cgi?id=432406) đã khiến nhiều người đặt dấu hỏi về năng lực an ninh của Mozila.

Tìm hiểu kỹ hơn về hai add-on trên cho chúng ta một số thông tin như sau:

-   Plug-in Master Filer: Tác giả là Haklinim. Ngày 11/12/2009, Xavius, một người dùng của AMO, đã cảnh báo rằng plugin này bị phần mềm Kapersky nhận diện là virus. Đây là plugin không mấy nổi tiếng, hơn nữa, tác giả là một cá nhân ít người biết tới. Hiện nay trên trang của Mozilla cũng đã xóa bỏ plugin này vì thế chúng tôi không thể tìm được link download để kiểm tra lại.

(Plugin Master Filer trên AMO)

-   Plug-in Sothink Web Video Downloader là sản phẩm của Source Tec (http://www.sothink.com/), một công ty Trung Quốc chuyên về các phần mềm xử lý flash. Trang blog của hãng có đề cập tới sự cố vừa rồi, và họ khẳng định rằng đó chỉ là nhận diện nhầm của các hãng AV vì sản phẩm của họ có sử dụng Armadillo để đóng gói. Hơn nữa, plugin đã được nâng cấp lên phiên bản 5.7 và phiên bản này không bị các AV nhận diện nhầm.

Tuy thế hiện tại Mozilla vẫn đang cấm tất cả các link cài đặt plugin Sothink Web Video Downloader.

(Plugin Sothink Web Video Downloader đã bị Mozilla gỡ bỏ)

Vậy thực hư như thế nào? Có đúng là plugin cho Firefox của Sothink bị nhiễm virus hay không?

Rất may mắn là chúng tôi đã tìm được đúng bản cài đặt version 4.0 của phần mềm trên. Kết quả quét trên Virustotal cho thấy tên virus và danh sách các AV phát hiện những virus này đúng như mô tả của Mozilla.

Kết quả quét file cài đặt:

http://www.virustotal.com/analisis/6aad247509a4b130c4f4978a69b4c740c54306bcf37510e0e527279b6c33b752-1265703198

Kết quả quét file add-on

http://www.virustotal.com/analisis/5be0e7623d8559bbe7f0508c4a389a1c8bd2be52bdf239b35342a574db30374b-1265609610

Theo phân tích của chúng tôi, việc nhận diện nhầm này do một thành phần trong plugin này là  nsCatcher.dll bị các Anti Virus nhận diện là Trojan/Win32.LdPinch.gen.

Kết quả scan file nsCatcher.dll trên VirusTotal

http://www.virustotal.com/analisis/3f32a9c80dc0c015a097df2c295eb4ced791f1de001bf1dd13e9f4ee88dd7af2-1265733753

Chúng tôi đã chuyển file nsCatcher.dll cho Bkis R&D để phân tích, kết quả cho thấy đây là file sạch, và hoàn toàn bình thường. Việc nhận diện virus của các AV ở đây là nhầm lẫn.

(PeiD nhận file này là Armadillo)

File nsCatcher .dll được đóng gói bằng Armadillo. Điều này trùng hợp với lý giải của Sothink.

Như vậy có thể kết luận rằng Plugin cho FireFox của Sothink  không phải là virus, các AV đã nhận diện nhầm  và cảnh báo của Firefox chưa hoàn toàn chính xác.

Bkis R&D

Gần đây, hệ thống theo dõi mã độc của Bkis phát hiện ra một đợt tấn công mới nhằm vào khách hàng của Ngân hàng Ấn Độ.

Kẻ xấu giả mạo Ngân hàng Ấn Độ gửi thư điện tử tới các khách hàng với nội dung về sự nâng cấp mới của hệ thống giao dịch trực tuyến (online banking), cụ thể như sau:

Kẻ xấu sẽ lừa người sử dụng truy cập vào đường link trong thư điện tử để dẫn tới một trang web có giao diện giống với Ngân hàng Ấn Độ thật. Thông tin tài khoản của người sử dụng sẽ rơi vào tay kẻ xấu, nếu họ điền thông tin đó vào website này.

Trang web giả

Nếu không để ý đến tên miền trên thanh địa chỉ của trình duyệt, người sử dụng rất khó phân biệt website thật và website giả mạo.

Website thật. Bạn có thể phân biệt thật/giả?

Một điểm chú ý nữa là chính trên website giả mạo lại có một cảnh báo về “Phishing attacks và Vishing attacks” (hình thức tấn công giả mạo nhằm ăn cắp thông tin cá nhân của người dùng). Kẻ xấu đã bắt chước y hệt website thật, kể cả đặc điểm này. Nhiều khả năng Ngân hàng Ấn Độ cũng đã biết đến cuộc tấn công và đang cố gắng cảnh báo tới các khách hàng của mình.

Những website giả mạo có tên miền khác nhau và không liên quan tới ngân hàng. Trong một số đợt tấn công lừa đảo tương tự, kẻ xấu thường tạo tên miền gần giống với website thật để lừa người sử dụng dễ hơn. Trong trường hợp này, khả năng cao là kẻ xấu đã chiếm quyền kiểm soát được một số web server, và lợi dụng những server này để dựng lên các website lừa đảo.

Bkis Security

Facebook là một trong những mạng xã hội ảo phổ biến nhất hiện nay. Không phải tự nhiên Facebook lại được cộng đồng mạng chào đón, tiếp nhận nhiệt tình đến vậy. Chính tính mở trong việc kết nối bạn bè và tính cập nhật về thông tin đã mang lại thành công cho mạng xã hội này, với khoảng 300 triệu thành viên tích cực trên khắp thế giới. Và vô tình, sự phổ biến đó đã “tiếp tay” cho hacker thực hiện dễ dàng hơn các mục đích xấu xa của chúng, như lừa đảo hay phát tán mã độc…Thời gian vừa qua, nếu bạn còn nhớ , một loại sâu máy tính được biết đến với tên Koobface đã lây lan mạnh mẽ chỉ đơn giản bằng cách đưa ra những bình luận với nội dung gây chú ý kèm theo link chứa virus.

Để lợi dụng triệt để mạng lưới thành viên rộng rãi của Facebook, hacker đã không ngừng tìm kiếm các phương thức tấn công mới hiệu quả hơn. Gần đây, hệ thống honeypot của Bkis đã phát hiện  một dòng virus mới phát tán bằng cách gửi email giả mạo đội ngũ quản trị của Facebook.

(Gửi người dùng facebook,

Với mục đích đảm bảo an toàn cho người sử dụng Facebook, chúng tôi đã đổi mật khẩu của bạn.

Bạn có thể tìm thấy mật khẩu mới của mình trong tài liệ đính kèm.

Cảm ơn,)

Virus này (Bkav nhận diện với tên W32.FacePass.Worm), sau khi được thực thi trên máy, sẽ nhả ra một mẫu backdoor, nhận lệnh từ máy chủ điều khiển có tên miền của Nga “apsight.ru”, đồng thời phát tán thư mạo danh có đính kèm mã độc. Khi kết nối đến máy chủ điều khiển, các chuyên gia của Bkis nhận được một kết quả khá thú vị:

(Cảnh báo: mysql_connect() [fuction.mysql-connect]: Có quá nhiều kết nối tới /var/www/host1/data/www/apsight.ru/my/func.php. Không thể kết nối đến mysql)

Không hiểu do có quá nhiều người bị lừa dẫn đến chính máy chủ của hacker trở thành nạn nhân của cuộc tấn công DDOS, hay đây đơn giản chỉ là lỗi lập trình do vô tình mắc phải? Cách giải thích thứ nhất có vẻ hợp lí hơn, bởi chắc chắn các hacker đã phải thử nghiệm kĩ càng trước khi phát tán virus lên mạng.

Bkis khuyến cáo người dùng hãy hết sức cẩn trọng với các thông tin từ Internet, đặc biệt là từ những email không rõ nguồn gốc. Ngoài ra, bạn nên sử dụng các phần mềm diệt virus để quét và loại bỏ hết virus trước khi mở các file đính kèm trong email.

Bkis R&D

Một đợt spam mới trên các diễn đàn VBB nhắm vào những những người sử dụng đã đăng ký trên diễn đàn. Kẻ xấu giả mạo quản trị diễn đàn gửi tin nhắn cá nhân tới từng người sử dụng một và cảnh bảo về virus Dashfer – một loại virus giả gateway.

Tạm dịch: (Thân, Dashfer! Phát hiện virus trên máy tính của bạn. Chúng tôi khuyến cáo bạn kiểm tra lại máy tính và thực hiện quét virus trực tuyến trên site của chúng tôi ngay: http://antivirus.efectmeds.com/Dash… Chân thành, Quản trị Forum. )

Thực chất, đường link này dẫn tới các website có các phần mềm diệt virus giả mạo. Giao diện của những website này giống hệt với giao diện Windows Explorer của Windows XP, khiến người sử dụng lầm tưởng rằng máy họ đang bị nhiễm virus thật, và sẽ tự mình tải về các phần mềm diệt virus giả mạo.

Thông thường các phần mềm diệt virus giả mạo đi kèm với kỹ thuật BlackHat SEO. Song lần này chúng ta chứng kiến sự kết hợp của spam trên các diễn đàn với các phần mềm diệt virus giả. Điều này cho thấy, kẻ xấu sẽ liên tục tìm mọi thủ đoạn để lây nhiễm virus trên máy tính của người sử dụng.

Chúng ta cần hết sức cảnh giác trước những thông tin tiếp nhận từ Internet. Đồng thời, hãy cập nhật phiên bản mới nhất của phần mềm diệt virus trên máy tính của bạn. Nếu máy tính gặp sự cố, hãy liên hệ với các hỗ trợ viên chuyên nghiệp từ các nhà sản xuất phần mềm diệt virus để họ giúp đỡ bạn.

Bkis R&D