Trong những ngày gần đây, xuất hiện một loại biến thể mới của Zeus có hành vi cập nhật giống với virus Conficker. Với những kinh nghiệm có được từ quá trình nghiên cứu virus Conficker, chúng tôi đã theo dõi, phân tích và đưa ra thống kê về một mạng botnet của biến thể Zeus này. Theo số liệu thu được, mạng botnet này có khoảng 18.752 zombie tại 153 quốc gia, 34% số máy tính này là ở Mỹ.

Tỷ lệ phân bố zombie của mạng botnet

Danh sách 10 nước bị nhiễm nhiều nhất

Người dùng có thể bị lừa truy cập vào các website chứa mã độc do hacker dựng sẵn hoặc các website hợp pháp nhưng đã bị kiểm soát. Khi đó, một virus có tên là Zbot sẽ được cài vào máy tính của người sử dụng thông qua các lỗ hổng của IE, Firefox, Adobe, hoặc Flash Player. Bkav đặt tên virus này là W32.ZbotL.Worm.

Để duy trì mạng botnet, Zbot “thả ra” một virus lây file có tên là W32.Licat.PE trên các zombie. Licat sẽ tìm cách lây nhiễm vào các file thực thi trên hệ thống, để mỗi khi file này được kích hoạt, phần code của virus trong file đó sẽ kết nối tới các tên miền ngẫu nhiên được sinh ra để cập nhật Zbot mới.

Trong số các tên miền được tạo ra ngẫu nhiên này, chiếm tỉ lệ cao nhất là các tên miền có đuôi: biz, com, info, org, net.

Licat sử dụng thời gian lấy qua hàm GetSystemTime và áp dụng các thuật toán để sinh các tên miền một cách ngẫu nhiên. Với thuật toán này, có thể tạo ra được 1.020 tên miền ngẫu nhiên mỗi ngày. Tuy nhiên mỗi lần một file đã bị lây nhiễm Licat được thực thi, nó chỉ kết nối tới 800 tên miền khác nhau (trong số 1.020 tên miền này).

Nếu một trong số các tên miền trên là của hacker, biến thể Zbot mới sẽ được tải về. Licat kiểm tra chữ ký trong file vừa tải về đó để xác thực đó có phải là là mẫu Zbot mới hay không. Nếu việc xác thực thành công, biến thể mới này sẽ được thực thi.

Biểu đồ hoạt động của mạng botnet

Bằng việc thiết lập hệ thống Honeypot và Rada giống như trường hợp của Conficker, chúng tôi có thể thống kê được chính xác số lượng zombie, đồng thời theo dõi được sự phát triển của mạng botnet này.

Hiện tại mạng botnet này đang phát triển khá nhanh. Chúng tôi sẽ tiếp tục cập nhật số liệu trong các bài viết tiếp theo.

Bkav Security

Theo số liệu thống kê mới nhất, số lượng máy bị nhiễm đã lên tới 20.553.

Stuxnet, trojan đầu tiên khai thác lỗ hổng shortcut trên Windows, đã phát tán khá rộng rãi trong thời gian vừa qua. Đây là loại virus từng gây ra vụ tấn công đình đám vào hệ thống điều khiển mạng công nghiệp – SCADA của Siemens ở Ấn Độ, Indonesia, Pakistan… sau đó xuất hiện tràn lan trong các cơ sở công nghiệp ở Iran. Các chuyên gia nghi ngờ có động cơ chính trị đằng sau cuộc tấn công của Stuxnet vào các mục tiêu trên nhằm lấy cắp bí mật công nghệ.

Do tính chất phức tạp của những câu chuyện xung quanh Stuxnet, rất nhiều người sử dụng đã tìm kiếm trên Internet các công cụ (tool) để quét và gỡ bỏ Stuxnet mà không cảnh giác, dễ bị mắc bẫy hacker. Hệ thống Honeypot của Bkav đã phát hiện nhiều kết quả tìm kiếm dẫn đến một tool mạo danh hãng phần mềm Microsoft. Tool này không những không có tác dụng diệt Stuxnet mà chính là một loại virus phá hủy dữ liệu, nó sẽ xóa toàn bộ dữ liệu trên ổ đĩa C khi được kích hoạt.

Hình 1 : Giả mạo tool của Microsoft

Hình 2 : Tạo file .bat thực thi các hành vi nguy hiểm

Trojan này được Bkav nhận diện với tên W32.FakeStuxer.Trojan.

Để tránh việc phải cài lại Windows và mất đi những dữ liệu quan trọng do virus gây ra, người dùng nên tìm kiếm tool diệt virus trực tiếp tại website của các hãng AV. Ngoài ra, sử dụng phần mềm AV có bản quyền là tốt nhất để bảo vệ máy tính của người sử dụng.

Bkav R&D

Nếu nhận được một đường link video gửi từ bạn bè qua Yahoo! Messenger, Windows Messenger … với thông điệp: “see my new clip on Youtube” như dưới đây, liệu bạn có click vào đường link này không?

Ảnh 1: Nội dung một tin nhắn giả mạo

“youtube.com” là một domain nổi tiếng. Điều đó khiến không ít người mất cảnh giác click vào đường link để xem video này. Thực chất, đây là một trò lừa đảo khá tinh vi và kỳ công của hacker. Kẻ xấu đã thay thế dấu “.” bằng “%2E” trong URL của đường link giả mạo YouTube. Như vậy, link mà người sử dụng vừa bấm vào không phải “youtube.com” mà là “youtube.com.checkconfig.info”.

Liên kết này dẫn tới một trang web giả mạo có giao diện giống hệt giao diện của YouTube:

Ảnh 2 : Giả mạo YouTube một cách tinh vi

Tuy nhiên, để xem video này, người sử dụng được yêu cầu tải về và cài đặt Adobe Flash Player, thực chất là một virus được viết bằng ngôn ngữ Autoit:

Ảnh 3: Giả mạo bộ cài Adobe Flash Player

Virus này (Bkav nhận diện với tên W32.Faketube.Worm), khi được chạy lên sẽ:

- Tự động copy bản thân vào thư mục  %Startup% với tên “Adobe.exe” để có thể chạy mỗi khi Windows khởi động

- Thay đổi trang chủ mặc định của trình duyệt IE để quảng bá cho Website: http://com[removed]osy.com/

- Tự động gửi tin nhắn qua các chương trình chat phổ biến, có kèm theo link chứa mã độc. Các chương trình chat được virus sử dụng:

• Yahoo! Messenger
• AIM
• Windows Live Messenger
• Windows Messenger

-  Nội dung tin nhắn :

• “is it cool ”
• ” see my new clip on Youtube =))”
• “I told you I got an iPhone4 for free ) “
• “my new iPad is coming ;;) “

Kèm theo nội dung là các đường link tới site giả mạo:  http://youtube.com%2Ech[removed]ckconfig%2Einfo/?video=flash&vid=thr2503

- Download malware khác và tự update bản thân thông qua các link :

• http://174.121.2.58/~ntp[removed]duc/update/cw2010.exe
• http://174.121.2.58/~ntp[removed]duc/update/CWcount.php

Bkav R&D

MS10-061, 1 trong 4 lỗ hổng mà sâu Stuxnet sử dụng, nằm ở dịch vụ chia sẻ máy in trên Windows. Bằng cách gửi một lệnh in qua RPC (Remote Procedure Call – Thủ tục gọi hàm từ xa), kẻ xấu có thể thực thi từ xa mã lệnh tùy ý trên hệ thống có chia sẻ máy in.

Lỗ hổng bắt nguồn từ hàm RpcStartDocPrinter(Opnum 17):

Trong đó, cấu trúc DOC_INFO_CONTAINER chứa pDocInfo1 trỏ đến cấu trúc DOC_INFO_1:

pOutputFile trỏ tới chuỗi xác định tên của file xuất. Do định dạng của file mà pOutputFile trỏ đến không hề bị kiểm soát nên file tạo ra có thể ở dưới bất cứ định dạng nào, kể cả một file thực thi. Sau đó, khi thủ tục RpcWritePrinter( Opnum 19) được gọi, dữ liệu sẽ được ghi ra file xuất.

Như vậy, bằng cách lợi dụng RpcStartDocPrinter và RpcWritePrinter, kẻ xấu có thể ghi từ xa một file với nội dung bất kỳ lên hệ thống (Thư mục hiện tại là %SystemRoot%\\system32).

Vấn đề đặt ra lúc này đối với kẻ tấn công là làm sao thực thi được file vừa tạo ra. HD Moore, chuyên gia từ Metasploit, đã phát hiện ra rằng hàm NetrJobAdd( Opnum 0) rất thích hợp để làm việc này.

Thông qua cấu trúc AT_INFO truyền cho hàm này, kẻ xấu có thể “lên kế hoạch” để thực thi được file đã tạo trong system32 lúc trước.

Lỗ hổng này đã được khắc phục trong đợt vá lỗi tháng 9 của Microsoft, người dùng Windows cần chú ý cập nhật bản vá đầy đủ.

Bkav Security

Google, Facebook, Twitter, Hi5, Amazon và Hallmark là 6 công ty bị hacker lợi dụng danh tiếng trong một chiến dịch phát tán mã độc qua email. Virus được phát tán là một biến thể mới của W32.Hitwica.Worm, một malware mà Bkav đã phân tích.

Trên thực tế, các công ty cung cấp dịch vụ mạng xã hội như Facebook, Twitter, Hi5, hay những công ty cung cấp dịch vụ mua bán như Amazon, Hallmark, hoặc Google thường gửi email tuyển dụng cho các ứng viên của họ. Bởi vậy, khi hacker phát tán những email có kèm mã độc, giả mạo các công ty này, rất nhiều người sử dụng mất cảnh giác sẽ trở thành nạn nhân của trò lừa đảo đó. Hacker không ngừng thay đổi nội dung các email lừa đảo nhằm dụ người sử dụng mở file đính kèm, thực chất là virus.

Hình 1: 6 “mục tiêu” đều nằm trong mã nguồn của virus

Hình 2: Giả mạo Google

Hình 3: Giả mạo Facebook

Hình 4: Giả mạo Twitter

Hình 5: Giả mạo Hi5

Hình 6: Giả mạo Amazon

Hình 7: Giả mạo E-Card của Hallmark

Virus này (Bkav nhận diện với tên W32.Sonespa.Worm) ẩn mình dưới dạng một tài liệu đính kèm, khiến nhiều người sử dụng hiếu kỳ mở ra xem.

Khi được thực thi, Sonespa sẽ :

1. Thao tác với file:

• Dump ra file: %Windir%\MFPTKPAR.dll
• Copy bản thân thành file: %SystemDir%\HPWuSchedv.exe
• [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• HP Software Updater v2.7 = “%SystemDir%\HPWuSchedv.exe”
• Pwulinubesida = “rundll32.exe “%Windir%\MFPTKPAR.dll”,Startup”

2. Ghi các key:

• [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• HP Software Updater v2.7 = “%SystemDir%\HPWuSchedv.exe”
• Pwulinubesida = “rundll32.exe “%Windir%\MFPTKPAR.dll”,Startup”

để load virus khi Windows khởi động.

3. Tắt dịch vụ: Error Reporting and Security Center

4. Copy bản thân vào các folder chia sẻ với tên giả danh các folder cài đặt của các chương trình hoặc phần mềm crack:

• Adobe Photoshop CS4 crack.exe
• Windows 7 Ultimate keygen.exe
• K-Lite Mega Codec v5.5.1.exe
• …..

5. Copy bản thân thành file autorun.inf vào các ổ USB để phát tán.

6. Xóa các key, file, và tắt các tiến trình của một số phần mềm antivirus phổ biến.

7. Liên tục gửi email với nội dung giả mạo và đính kèm virus để phát tán.

8. Kết nối đến server 206.137.17.89 qua cổng 1049.

Nếu một ngày, bạn thấy một email tương tự trong inbox của mình, hãy thận trọng khi mở file đính kèm.

Bkav R&D