Thông tin chung

Người dùng nên thận trọng khi vào trang download của Lenovo tại địa chỉ: http://www-307.ibm.com/pc/support/site.wss/product.do?doctypeind=9&template=/productselection/landingpages/downloadsDriversLandingPage.vm&sitestyle=lenovo.

Website này có chứa mã độc nguy hiểm được phát hiện từ chiều 20/6.

Hiện nay, nếu truy cập website trên bằng trình duyệt Chrome hay Firefox, người dùng sẽ nhận được cảnh báo có mã độc. Trường hợp sử dụng Internet Explorer sẽ có nguy cơ bị nhiễm malware cao vì trình duyệt này vẫn chưa áp dụng chế độ truy cập an toàn, không xuất hiện cảnh báo cho người dùng.

Chrome cảnh báo trang download của Lenovo có mã độc

Nhiều trang trong tại trang download của Lenovo bị chèn thêm một iframe trỏ tới hxxp://volgo-marun.cn/pek/index.php.

Mã độc được chèn vào các trang web

Kết quả giải mã iframe trên cho thấy hacker đã sử dụng nhiều lỗ hổng trong Internet Explorer để tấn công.

Mã tấn công

Đoạn mã tấn công sẽ tìm cách tải về máy tính một file: hxxp://volgo-marun.cn/pek/exe.exe. File này chính là một virus.

Mô tả virus

Virus trên là một biến thể mới của botnet Bredolab có MD5 là: F5A44C63F8777F544931ABC763F88EE3

Sau khi được tải về máy, virus sao chép chính nó thành %Programs%\Startup\monskc32.exe

Và nhận lệnh điều khiển từ server điều khiển (C&C) có tên miền: sicha-linna8.com

Botnet Bredolab nhận lệnh điều khiển từ C&C server

Ở thời điểm hiện tại, kết quả quét virus trên Virus Total cho thấy chỉ một số ít AV có thể nhận diện biến thể trên. Tuy vậy, người dùng BkavPro 2009 IS có thể yên tâm vì Bkav đã cập nhật virus này.

Bkis Security

Trackback URI | Comments RSS