Quản Trị  Bảo Mật - Virus - Backup
 
Tìm hiểu về phần mềm độc hại Backdoor.Win32.Bredolab.eua
09:59 | 04/09/2010

Khái niệm backdoor được dùng để chỉ những phần mềm độc hại, được tạo ra để cài, phát tán mã độc vào máy tính người của người dùng. Nếu xét về khía cạnh chức năng và kỹ thuật, Backdoor khá giống với hệ thống quản lý và điều phối phần mềm. Những ứng dụng độc hại này được tạo ra để làm bất cứ yêu cầu gì mà tin tặc muốn: gửi và nhận dữ liệu, kích hoạt, sử dụng và xóa bất cứ file nào đó, hiển thị thông báo lỗi, tự khởi động lại máy tính …

Những chương trình như này thường được sử dụng để liên kết những nhóm máy tính bị lây nhiễm để tạo nên mô hình mạng botnet hoặc zombie thường gặp. Và những kẻ đứng đằng sau tổ chức này có thể dễ dàng tập trung 1 số lượng lớn hoặc rất lớn các máy tính – lúc này đã trở thành công cụ cho tin tặc, nhằm thực hiện những âm mưu hoặc mục đích xấu.

1 bộ phận khác của Backdoor cũng có khả năng lây lan và hoạt động giống hệt với Net-Worm, chúng ta có thể phân biệt chúng qua khả năng lây lan, Backdoor không thể tự nhân bản và lây lan, trái ngược hoàn toàn với Net-Worm. Nhưng chỉ cần nhận được lệnh đặc biệt từ phía tin tặc, chúng sẽ đồng loạt lây lan và sản sinh với số lượng không thể kiểm soát được.

Tại bài viết này, chúng ta sẽ cùng thảo luận về mẫu Backdoor.Win32.Bredolab.eua (được đặt tên bởi Kaspersky), hoặc còn được biết đến dưới tên gọi: 

 - Trojan: Bredolab!n (McAfee)
 - Mal/BredoPk-B (Sophos)
 - Trj/Sinowal.DW (Panda)
 - TrojanDownloader:Win32/Bredolab.AA (MS(OneCare))
 - Trojan.Botnetlog.126 (DrWeb)
 - Win32/TrojanDownloader.Bredolab.BE trojan (Nod32)
 - Trojan.Downloader.Bredolab.EK (BitDef7)
 - Backdoor.Bredolab.CNS (VirusBuster)
 - Trojan.Win32.Bredolab (Ikarus)
 - Cryptic.AGF (AVG)
 - TR/Crypt.XPACK.Gen (AVIRA)
 - W32/Bredolab.TP (Norman)
 - Trojan.Win32.Generic.521C7EF8 (Rising)
 - Backdoor.Win32.Bredolab.eua [AVP] (FSecure)
 - Trojan-Downloader.Win32.Bredolab (Sunbelt)
 - Backdoor.Bredolab.CNS (VirusBusterBeta)

Chúng được phát hiện vào ngày 3/6/2010 lúc 16:16 GMT, “rục rịch” hoạt động tại 4/6/2010 lúc 03:28 GMT, và các thông tin phân tích chi tiết được đăng tải vào ngày 12/7/2010 lúc 11:33 GMT.

Miêu tả chi tiết về mặt kỹ thuật

Về bản chất, những chương trình mã độc như thế này thường được quản lý bởi server riêng, và có nhiệm vụ tải các malware khác về máy tính đã bị lây nhiễm.

Như tất cả các chương trình độc hại khác, chúng tự kích hoạt cơ chế khởi động cùng hệ thống bằng cách copy file thực thi vào thư mục autorun:

%Startup%\siszpe32.exe

và tạo ra những file có dạng như sau:

%appdata%\avdrn.dat

Về phương thức Payload, chúng thường xuyên kết nối tới server:

http://*****lo.ru

nơi chúng gửi đi những yêu cầu như sau:

GET /new/controller.php?action=bot&entity_list=&
uid=&first=1&guid=880941764&v=15&rnd=8520045

Và kết quả là chương trình sẽ nhận lại lệnh, mã cụ thể để tải các ứng dụng malware khác, chúng sẽ được lưu tại thư mục sau và tự động kích hoạt:

%windir%\Temp\.exe

Sau đó chúng tiếp tục gửi đi những yêu cầu khác:

GET /new/controller.php?
action=report&guid=0&rnd=8520045&guid=&entity=1260187840:unique_start;
1260188029:unique_start;1260433697:unique_start;1260199741:unique_start

những dữ liệu này thông báo với hệ thống server rằng máy tính của nạn nhân đã bị lây nhiễm.

Ngọc Trung (Nguồn QTM)

 
Ý kiến phản hồi và bình luận Góp ý kiến của bạn

Các tin mới nhất :
- Tấn Công dò mật khẩu Brute-Force Trên VPS
- Cấu hình phần mềm APC UPS
- Hướng dẫn backup trên Commvault Software (Phần 2)
- Tìm hiểu về DHCP Server Security (phần 2)
- Tìm hiểu về DHCP Server Security (phần 1)
- 10 công cụ backup của Linux
- Bảo mật cổng 445 trong Windows 2000/XP/2003
- Kỹ thuật hack password Gmail
- Tìm hiểu về phần mềm độc hại Backdoor.Win32.Bredolab.eua
- Cài đặt mod Security trên Linux Centos 5.4, Fedora 11-12
Các tin liên quan :
- Cài đặt mod Security trên Linux Centos 5.4, Fedora 11-12
- 8 bước để bảo vệ Router Cisco
- Cách cấu hình AIDE (Advanced Intrusion Detection Environment) quét qua các file chuẩn của website.
- Vì sao Linux bảo mật hơn Windows
- Những Cách Bảo Vệ Hosting Và Server
- Tìm kiếm malware trên máy tính Windows bằng dòng lệ
- Xóa cache trong Windows 7/ Vista / Xp/ 2000 / 2003/ 2008
- Bảo mật khi làm việc với các Wi-Fi Hotspot
- Phân tích hành động của Malware
- Bảo vệ kết nối Internet thông qua SSH
Xem tiếp
Bài nhiều người đọc cùng chuyên mục
Kỹ thuật hack password Gmail
 
Tổng quan bảo mật server Linux (CentOS) – Phần 1
 
Mật khẩu Windows có thể bị crack như thế nào – Phần 1
 
Mật khẩu Windows có thể bị crack như thế nào – Phần 2
 
Xóa cache trong Windows 7/ Vista / Xp/ 2000 / 2003/ 2008
 
Bảo mật cổng 445 trong Windows 2000/XP/2003
 
Cấu hình phần mềm APC UPS
 
Trang chủ | Giới thiệu | Quảng cáo | Liên hệ
Giấy phép ICP số 199/GP-TTĐT. Bộ Thông tin và Truyền thông cấp.
Cơ quan quản lý  : Công Ty Cổ Phần Kênh Giải Pháp
Bản quyền © 2010-2011 Kenhgiaiphap.vn . Giữ toàn quyền.
Ghi rõ nguồn "Kenhgiaiphap.vn" khi phát hành lại thông tin từ website này.