Backdoor.Win32.Rbot.wbg:
Chiếm quyền điều khiển hệ thống, phát tán mã độc |
|
1. Tên gọi |
|
Net-Worm.Spybot.C!rem [PCTools], W32.Spybot.Worm
[Symantec], Backdoor.Win32.Rbot.wbg [Kaspersky Lab],
W32/Spybot.worm.gen [McAfee], Mal/Emogen-Y [Sophos],
Trojan:Win32/Ircbrute [Microsoft], Backdoor.Rbot
[Ikarus] |
|
2.
Mô tả |
|
Là một
ứng dụng của Windows có dung lượng 45.780 byte, được
viết bằng ngôn ngữ C++. Backdoor này cho phép hacker
truy cập từ xa vào máy tính bị nhiễm, nhằm ăn cắp thông
tin, điều khiển máy tính thực hiện các cuộc tấn công vào
hệ thống. |
|
3.
Quá trình lây nhiễm |
B1:
Backdoor sẽ kiểm tra xem trên máy tính nạn nhân có hệ
thống bảo vệ hoặc phần mềm chống virus hay không thông
qua các liên kết:
\\.\SICE <file:///\\.\SICE>
\\.\SIWVID <file:///\\.\SIWVID>
\\.\NTICE <file:///\\.\NTICE>
\\.\REGSYS <file:///\\.\REGSYS>
\\.\REGVXG <file:///\\.\REGVXG>
\\.\FILEVXG <file:///\\.\FILEVXG>
\\.\FILEM <file:///\\.\FILEM>
\\.\TRW <file:///\\.\TRW>
\\.\ICEEXT <file:///\\.\ICEEXT> |
|
B2:
Kiểm tra các máy tính có tên trùng với các tên gọi:
nepenthes, currentuser, vmware, honey, sandbox. Các phần
mềm độc hại sẽ “nằm im” nếu phát hiện trên máy thỏa một
trong số các điều kiện liệt kê ở trên, chúng giả vờ hiện
thông báo lỗi để đánh lừa người dùng, sau đó các bản sao
của phần mềm sẽ được tạo ra và lưu tại đường dẫn: %
Program Files%\Common Files\System\molox.exe hoặc
C:\Recycler\molox.exe |
B3: Gán
thuộc tính cho các tập tin trên với tập tin hệ thống và
ẩn. Để đảm bảo mã độc luôn khởi động cùng máy tính, nó
sẽ thêm một liên kết đến tập tin thực thi thông qua hệ
thống registry:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsSystem32"="%Program Files%\Common
Files\System\molox.exe"
hoặc
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsSystem32"=" C:\RECYCLER\molox.exe" |
B4: Mã
độc cố gắng gán tập tin của chúng vào danh sách phần mềm
được phép hoạt động của Windows Firewall:
[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%Program Files%\Common
Files\System\molox.exe"="%Program Files%\Common
Files\System\molox.exe:*:Enabled:WindowsSystem32"
Sau đó, chúng cố gắng kết nối đến máy chủ IRC (dend***p.hu)
để nhận thêm mã độc mới. Khi việc kết nối hoàn tất, phần
mềm độc hại sẽ được gán thêm các thông số: USER <rnd>
"fo<rnd2>.net" "lol" :<rnd> và tiếp tục đợi thêm lệnh từ
người “quản lý” theo quy tắc sau: |
|
 |
Ngoài ra, chúng còn cố gắng chiếm quyền truy cập vào
máy chủ FTP và các máy tính khác để nhân rộng việc
phát tán mã độc, bằng cách quét trên hệ thống mạng
khi nhận được lệnh từ máy chủ sau: !scan (X) (random
/ logical) (ip/b/y) (vnc_mode) (transfer_mode)
[Äèàïàçîí_ñêàíèðîâàíèÿ] |
|
4. Cách diệt |
Để xử
lý virus một cách thủ công, bạn thực hiện theo các bước:
B1: Sử dụng Task Manager để tắt tiến trình Molox.exe.
B2: Xóa các tập tin gốc của Backdoor (vị trí của chúng
tùy thuộc vào tập tin đầu tiên do người dùng lưu vào máy
tính - thư mục chức tập tin tải về).
B3: Xóa các từ khóa sau trong registry:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsSystem32"="%Program Files%\Common
Files\System\molox.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsSystem32"=" C:\RECYCLER\ molox.exe"
[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"%Program Files%\Common
Files\System\molox.exe"="%Program Files%\Common
Files\System\molox.exe:*:Enabled:WindowsSystem32"
B4: Xóa tập tin molox ở đường dẫn: %Program
Files%\Common Files\System\molox.exe hoặc C:\RECYCLER\
molox.exe
Nếu máy tính của bạn không có phần mềm quét virus mạnh
để bảo vệ bạn có thể truy cập trang web
www.kaspersky.vn
để tải bản dùng thử, cách này sẽ giúp bạn xử lý virus
nhanh và triệt để hơn là phương pháp thủ công. |
|
Video sex giả mạo phát tán trên Facebook |
|
 |
|
Gần đây trên Facebook đã xuất hiện tình trạng video
giả mạo (scam) dẫn đến các trang Web sex và yêu cầu
người dùng đóng phí để xem được các video này. |
|
 |
|
Nạn nhân sẽ nhận được thông báo với dạng một thông
tin mời gọi hấp dẫn, và yêu cầu người dùng nâng cấp
phiên bản Flash Player để xem được các video này,
thực chất là trình virus mạo danh được cài đặt vào
máy tính người dùng. Khi nhiễm mã độc, bạn sẽ được
đưa đến các trang Web sex và yêu cầu trả phí để xem
chúng. Các pop-up sẽ xuất hiện liên tục trên desktop
sau mỗi năm phút. Khi gặp tình trạng mô tả vừa nêu,
người dùng nên hạn chế kích hoạt và cài đặt các phần
mềm có nguồn gốc không rõ ràng và nên nâng cấp và
trang bị cho máy tính những phần mềm diệt virus mạnh
nhất để cảnh báo các đường link nguy hại trên. |
|
PHÒNG
MẠCH VIRUS |
|
Máy tính sử
dụng Windows XP, mỗi lần muốn xem các ứng dụng đang
chạy, tôi thường rà soát bằng cách nhấn
Ctrl+Alt+Del, tuy nhiên thông tin hiển thị không
thật nhiều. Xin hỏi có tiện ích nào cũng có chức
năng tương tự vậy không? (tieuthu_xinh0kdep@) |
|
Đáp:
Bạn có
thể dùng một trong các tiệních sau để thực hiện công
việc trên: Process Explorer (http://tinyurl.com/35y8jkj),
WinUtilities Process Security 2.0 (http://tinyurl.com/688gebf),... |
|
TRÒ CHƠI
“GIẢI MÃ VIRUS” |
|
“Giải mã virus” tuần thứ 75:
Theo bạn, sản phẩm Kaspersky nào sau
đây không dùng cho nhu cầu sử dụng cá nhân:
a. Kaspersky Mobile Security
b. Kaspersky Internet Security
c. Kaspersky Small Office Security
d. Không có sản phẩm nào |
|
Câu trả lời bạn hãy gửi về địa chỉ: trochoi@baoechip.com,
bài tham dự ghi rõ thông tin cá nhân Họ tên, địa
chỉ, số điện thoại và số CMND để tòa soạn
tiện liên lạc khi trúng giải. e-CHÍP sẽ dành
hai phần quà cho hai bạn có câu trả lời đúng và
nhanh nhất là key bản quyền một năm sản phẩm
Kaspersky Antivirus. |
|
Đáp án câu hỏi “Giải mã virus”
tuần thứ 74: |
|
c. Virus Total là một dịch vụ quét
virus trực tuyến tổng hợp, cung cấp thông tin về
virus lây nhiễm file (nếu có) mà không hỗ trợ chức
năng diệt virus. |
|
Chúc mừng bạn Le Minh Phuoc
<phuocungpro@gmail.com> và bạn Lưu Hoàng Hảo
<haopckg@gmail.com> đã có câu trả lời đúng và gửi về
tòa soạn sớm nhất. Các bạn vui lòng gửi thông tin cá
nhân về tòa soạn để e-CHÍP chuyển quà nhé. |
|
Chuyên mục được thực hiện với sự
hợp tác của NTS |
|
Bạn có thể
gửi email về
toasoan@baoechip.com
hoặc soạn
tin HOI [Nội dung câu hỏi] gửi 8575 để
đặt câu hỏi virus cho Tòa soạn. |
|
[Đầu trang] |