Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Malware Jenxcus và Bladabindi lây nhiễm trên 7 triệu máy tại Châu Âu
Được cho là được tạo ra bởi hai tin tặc mang quốc tịch Kuwait và Algerie, các dòng malware có tên Jenxcus (NJw0rm) và Bladabindi (NJrat) trong vòng 12 tháng qua đã tấn công trên 7 triệu máy tính, chủ yếu tại châu Âu. 23 tên miền của dịch vụ tên miền động No-IP tham gia phát tán hai dòng malware đã bị Microsoft thu giữ.
Hiện tại, chưa thể thống kê chính xác số máy tính bị nhiễm Jenxcus và Bladabindi, tuy nhiên Microsoft cho biết các sản phẩm diệt virus của hãng đã phát hiện các loại biến thể của 2 dòng này trên ít nhất 7.486.833 máy.
Châu Âu là khu vực bị ảnh hưởng nặng nề nhất bởi hai dòng virus Jenxcus (NJw0rm) và Bladabindi (NJrat) – Nguồn: Microsoft
Chức năng chính của 2 dòng malware này là thu thập thông tin trên máy nạn nhân và gửi về các máy chủ nằm dưới sự kiểm soát của tin tặc.
Dữ liệu thu thập được không chỉ là thông tin đăng nhập vào các dịch vụ web, bởi Bladabindi có tích hợp các thành phần ghi log, thậm chí là điều khiển cả webcam trên máy để chụp ảnh và ghi hình mà không cần người dùng cho phép. Một số biến thể khác còn tích hợp cả chức năng điều khiển từ xa. Malware có thể liên tục bổ sung thêm các tính năng mới, phức tạp hơn bằng cách download các thành phần từ trung tâm C&C.
Phương thức phát tán được tin tặc sử dụng rất đa dạng, từ social engineering cho đến chèn malware vào các file chương trình và video chia sẻ qua torrent. Chiêu phổ biến nhất của tin tặc là lừa nạn nhân click vào một đường link chèn virus trong email hoặc các bài đăng trên mạng xã hội. Trong một số trường hợp, malware giả mạo bản update Flash và yêu cầu người dùng cài đặt.
Hai dòng malware này không mới (Bladabindi xuất hiện vào tháng 7/2012 và Jenxcus vào tháng 9/2012), tuy nhiên bằng cách nào đó chúng đã né được các hoạt động triệt phá cho đến tận hôm 30/6 vừa qua khi Microsoft thu giữ 23 tên miền No-IP tham gia vào quá trình liên kết các máy tính nhiễm malware với server C&C.
Nhờ việc thu giữ các tên miền, Microsoft đã phát hiện được các luồng dữ liệu mà malware gửi nhận và chặn đứng được hoạt động của chúng.
Theo Microsoft, thông tin về 2 dòng malware này có đầy rẫy trên mạng và bất cứ ai cũng có thể tạo ra một biến thể. Điều này khiến Bladabindi và Jenxcus khác biệt so với các mạng botnet chúng ta từng thấy. Một mạng botnet thông thường chỉ có 1 server C&C để kiểm soát tất cả các máy nhiễm. Nhưng với Bladabinda và Jenxcus thì số lượng máy điều khiển botnet có thể lên đến hàng nghìn.
Hôm 30/6, Microsoft đã thu giữ 23 tên miền mà hãng này cáo buộc là đã tham gia vào hoạt động phát tán malware chống lại người dùng Windows, khiến hàng triệu server hợp pháp sử dụng dịch vụ tên miền động của No-IP.com bị đình trệ hoạt động.
Theo lệnh của tòa án liên bang Hoa Kỳ, Microsoft sẽ là đơn vị phân giải IP tên miền cho các tên miền của No-IP. Microsoft khẳng định mục tiêu của việc thu giữ là phát hiện và điều hướng luồng dữ liệu liên quan đến 2 dòng malware Bladabindi và Jenxcus đang lạm dụng dịch vụ của No-IP.
Nguồn: Softpedia
Hiện tại, chưa thể thống kê chính xác số máy tính bị nhiễm Jenxcus và Bladabindi, tuy nhiên Microsoft cho biết các sản phẩm diệt virus của hãng đã phát hiện các loại biến thể của 2 dòng này trên ít nhất 7.486.833 máy.
Châu Âu là khu vực bị ảnh hưởng nặng nề nhất bởi hai dòng virus Jenxcus (NJw0rm) và Bladabindi (NJrat) – Nguồn: Microsoft
Dữ liệu thu thập được không chỉ là thông tin đăng nhập vào các dịch vụ web, bởi Bladabindi có tích hợp các thành phần ghi log, thậm chí là điều khiển cả webcam trên máy để chụp ảnh và ghi hình mà không cần người dùng cho phép. Một số biến thể khác còn tích hợp cả chức năng điều khiển từ xa. Malware có thể liên tục bổ sung thêm các tính năng mới, phức tạp hơn bằng cách download các thành phần từ trung tâm C&C.
Phương thức phát tán được tin tặc sử dụng rất đa dạng, từ social engineering cho đến chèn malware vào các file chương trình và video chia sẻ qua torrent. Chiêu phổ biến nhất của tin tặc là lừa nạn nhân click vào một đường link chèn virus trong email hoặc các bài đăng trên mạng xã hội. Trong một số trường hợp, malware giả mạo bản update Flash và yêu cầu người dùng cài đặt.
Hai dòng malware này không mới (Bladabindi xuất hiện vào tháng 7/2012 và Jenxcus vào tháng 9/2012), tuy nhiên bằng cách nào đó chúng đã né được các hoạt động triệt phá cho đến tận hôm 30/6 vừa qua khi Microsoft thu giữ 23 tên miền No-IP tham gia vào quá trình liên kết các máy tính nhiễm malware với server C&C.
Nhờ việc thu giữ các tên miền, Microsoft đã phát hiện được các luồng dữ liệu mà malware gửi nhận và chặn đứng được hoạt động của chúng.
Theo Microsoft, thông tin về 2 dòng malware này có đầy rẫy trên mạng và bất cứ ai cũng có thể tạo ra một biến thể. Điều này khiến Bladabindi và Jenxcus khác biệt so với các mạng botnet chúng ta từng thấy. Một mạng botnet thông thường chỉ có 1 server C&C để kiểm soát tất cả các máy nhiễm. Nhưng với Bladabinda và Jenxcus thì số lượng máy điều khiển botnet có thể lên đến hàng nghìn.
Hôm 30/6, Microsoft đã thu giữ 23 tên miền mà hãng này cáo buộc là đã tham gia vào hoạt động phát tán malware chống lại người dùng Windows, khiến hàng triệu server hợp pháp sử dụng dịch vụ tên miền động của No-IP.com bị đình trệ hoạt động.
Theo lệnh của tòa án liên bang Hoa Kỳ, Microsoft sẽ là đơn vị phân giải IP tên miền cho các tên miền của No-IP. Microsoft khẳng định mục tiêu của việc thu giữ là phát hiện và điều hướng luồng dữ liệu liên quan đến 2 dòng malware Bladabindi và Jenxcus đang lạm dụng dịch vụ của No-IP.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: