Trong một bài blog gần đây, chúng tôi đã cảnh báo về việc trang download của Lenovo bị nhiễm mã độc. Lenovo cho biết website của họ bị tiêm mã độc trong khoảng thời gian từ cuối ngày 18/6 đến ngày 21/6. Sau cảnh báo của Bkis, Lenovo đã gỡ mã độc khỏi website và thông báo chính thức về vụ việc trên tại blog của mình.

Tuy nhiên, nếu người sử dụng đã truy cập vào trang này trong khoảng thời gian từ ngày 18/6 (ngày trang download bị tiêm mã độc) đến ngày 21/6 (ngày Lenovo chính thức xử lý xong sự việc), khả năng máy tính của họ bị nhiễm virus Bredolab là rất cao. Khi đó, làm thế nào để biết máy tính của mình có bị nhiễm virus hay không? Người sử dụng có thể sử dụng tiện ích msconfig của Windows để kiểm tra hệ thống (chọn “Start”, chọn “Run…”, gõ “msconfig” và bấm nút “Enter”). Nếu trong tab Startup tồn tại một “Startup Item” với tên “monskc32”, máy tính của bạn đã bị nhiễm virus.

Dấu hiệu nhận biết máy tính bị nhiễm virus Bredolab

Nếu máy tính của bạn đã nhiễm Bredolab, hãy cập nhật phiên bản mới nhất của phần mềm diệt virus trên máy để gỡ bỏ mã độc.

Bkis Security

Thời gian gần đây, chúng tôi đã có một số cảnh báo về nguy cơ bị nhiễm virus khi mở file đính kèm trong các email lừa đảo nhắm vào các mạng xã hội ảo nổi tiếng như Facebook hay Twitter. Tuy nhiên, người sử dụng dường như vẫn còn thờ ơ với những cảnh báo như vậy. Hacker nhận thấy phương thức lừa đảo này vẫn rất hiệu quả, mà bằng chứng là những đợt tấn công mới với phương thức tương tự liên tục xuất hiện. Lần này là Twitter:

Ảnh 1: Email lừa đảo nhắm vào Twitter

Mục đích cuối cùng của những kẻ phát tán là lừa người sử dụng tin vào email này và mở file đính kèm. Tất nhiên, nếu không có sự cảnh giác đúng mức, người sử dụng sẽ dễ dàng làm theo kịch bản mà hacker mong muốn, dẫn đến việc máy tính bị nhiễm virus.

Virus này (Bkav nhận diện với tên W32.Ziktwitters.Worm) tải rất nhiều malware khác nhau, bao gồm cả FakeAV và liên tục phát tán các email quảng cáo cũng như các email lừa đảo đến những người dùng khác.

Ảnh 2: Virus phát tán email quảng cáo và email lừa đảo

Tác giả của virus này dường như là một người khá hài hước khi chọn slogan của Google làm khóa giải mã cho dữ liệu.

Ảnh 3: Giải mã dữ liệu

Rõ ràng, chính sự chủ quan của người dùng đối với những nguồn tin nhận được từ Internet, đặc biệt là việc mở file đính kèm khi chưa xác định rõ nguồn gốc cũng như tính đúng đắn của thông tin trong email đã giúp hacker phát tán virus trên diện rộng.

Bkav Security

Thông tin chung

Người dùng nên thận trọng khi vào trang download của Lenovo tại địa chỉ: http://www-307.ibm.com/pc/support/site.wss/product.do?doctypeind=9&template=/productselection/landingpages/downloadsDriversLandingPage.vm&sitestyle=lenovo.

Website này có chứa mã độc nguy hiểm được phát hiện từ chiều 20/6.

Hiện nay, nếu truy cập website trên bằng trình duyệt Chrome hay Firefox, người dùng sẽ nhận được cảnh báo có mã độc. Trường hợp sử dụng Internet Explorer sẽ có nguy cơ bị nhiễm malware cao vì trình duyệt này vẫn chưa áp dụng chế độ truy cập an toàn, không xuất hiện cảnh báo cho người dùng.

Chrome cảnh báo trang download của Lenovo có mã độc

Nhiều trang trong tại trang download của Lenovo bị chèn thêm một iframe trỏ tới hxxp://volgo-marun.cn/pek/index.php.

Mã độc được chèn vào các trang web

Kết quả giải mã iframe trên cho thấy hacker đã sử dụng nhiều lỗ hổng trong Internet Explorer để tấn công.

Mã tấn công

Đoạn mã tấn công sẽ tìm cách tải về máy tính một file: hxxp://volgo-marun.cn/pek/exe.exe. File này chính là một virus.

Mô tả virus

Virus trên là một biến thể mới của botnet Bredolab có MD5 là: F5A44C63F8777F544931ABC763F88EE3

Sau khi được tải về máy, virus sao chép chính nó thành %Programs%\Startup\monskc32.exe

Và nhận lệnh điều khiển từ server điều khiển (C&C) có tên miền: sicha-linna8.com

Botnet Bredolab nhận lệnh điều khiển từ C&C server

Ở thời điểm hiện tại, kết quả quét virus trên Virus Total cho thấy chỉ một số ít AV có thể nhận diện biến thể trên. Tuy vậy, người dùng BkavPro 2009 IS có thể yên tâm vì Bkav đã cập nhật virus này.

Bkis Security

Trong bài blog trước, chúng tôi đã nhận định kiểu phát tán virus bằng thư rác có chứa các file đính kèm là định dạng .html có khả năng qua mặt được các phần mềm diệt virus tích hợp trong các mail server. Thực tế là trong những ngày qua phần mềm diệt virus trên các mail server lớn như Gmail và Yahoo!Mail đã bị “đánh lừa”.

Các file .html này chứa kết nối tới website chứa mã độc, nhưng bản thân chúng lại không chứa mã độc, nên phần mềm diệt virus rất khó phát hiện.

Qua mặt phần mềm diệt virus của Gmail

Qua mặt phần mềm diệt virus của Yahoo mail

Kết quả quét mã độc trên Virus Total cho thấy nhiều phần mềm diệt virus chưa nhận diện các file .html này:

http://www.virustotal.com/analisis/7877f3490e33edab50bea5ad33669d424c5b7777c359a36ee6dcfa6ab9d18be0-1276808217

Chúng tôi khuyến cáo người sử dụng nên cảnh giác khi nhận được các email lạ và tuyệt đối không tải về các file đính kèm không rõ nguồn gốc.

Bkis Security

Trong vài ngày qua, hệ thống theo dõi của Bkis phát hiện một đợt phát tán virus với số lượng lớn, thông qua việc gửi thư rác có chứa các file đính kèm là định dạng .html. Những thư rác này có nội dung giả mạo các thông báo của Twitter, Facebook, Microsoft…

Giả mạo Twitter thông báo đổi mật khẩu

Giả mạo Facebook thông báo đổi mật khẩu

Và giả mạo thông báo cài đặt MS Outlook

Các tiêu đề của thư có thể là:
“Reset your Twitter password” [Thiết lập lại mật khẩu Twitter của bạn]
“Reset your Facebook password” [Thiết lập lại mật khẩu Facebook của bạn]
“Outlook Setup Notification” [Thông báo về việc cài đặt Outlook]
“FIFA World Cup South Africa… bad news” [FIFA World Cup Nam Phi… tin xấu]
..

Tên các file đính kèm có thể gặp là:
news.html
open.html
index.html
ecard.html
facebook_newpass.html
..

Những file .html trên có chứa các đoạn mã script có dạng như sau:

Khi mở những file .html này, người dùng sẽ bị chuyển hướng truy cập tới các website chứa mã độc khai thác lỗi của Adoble, Java và Internet Explore nhằm tải virus xuống máy người dùng. Vì thế, việc mở các file đính kèm .html có thể coi là sự chấp nhận “lời mời ghé thăm” các website độc hại mà hacker dựng lên.
Kiểu phát tán mã độc này sẽ trở thành một xu hướng nguy hiểm mới, bởi một số lý do sau:

1. Từ trước đến nay, người sử dụng vẫn cảnh giác với các email có đuôi file đính kèm là exe, .zip, .pif vì các định dạng này đã được cảnh báo nhiều về việc bị hacker lợi dụng. Trong khi đó, đối với file đính kèm là .html hầu hết mọi người vẫn cho là an toàn.
2. Kiểu phát tán này có khả năng qua mặt được các phần mềm diệt virus tích hợp trong các mail server. Bởi vì bản thân file .html đính kèm không chứa mã độc hay mã khai thác lỗi, mà chỉ chứa đường link tới một website của hacker. Do đó, file này rất khó bị phần mềm diệt virus phát hiện.

Người dùng cần cảnh giác với tất cả các loại file đính kèm trong các email lạ, không rõ nguồn gốc. Ngoài ra, người sử dụng nên thường xuyên cập nhật các phần mềm đang sử dụng và cài đặt phần mềm diệt virus để bảo vệ máy tính.

Bkis Security