Xuất hiện biến thể malware mới, Việt Nam lây nhiều nhất thế giới

WhiteHat News #ID:1368

WhiteHat Support
04/06/2014
0
110 bài viết
Xuất hiện biến thể malware mới, Việt Nam lây nhiều nhất thế giới
Pushdo, một trong những dòng malware lâu đời nhất từng hoạt động, được phát hiện đang quay trở lại và lây nhiễm hơn 11.000 máy tính chỉ trong vòng 24 giờ.

1490893050Pushdo-Malware-Hacks.jpg

Pushdo là dòng Trojan đa dụng, chủ yếu được biết đến với chức năng cõng theo các malware ăn cắp thông tin tài chính như ZeuS, SpyEye… hoặc phát tán spam thông qua một thành phần đi kèm có tên là Cutwail thường được cài lên các máy nhiễm Pushdo. Dòng Trojan này xuất hiện lần đầu cách đây 7 năm và lây lan rất mạnh vào thời điểm năm 2007.

Nay thì một biến thể mới của Pushdo đã xuất hiện, sử dụng một thuật toán sinh tên miền (Domain Generation Algorithm – DGA) mới để tương thích với phương pháp giao tiếp C&C thông thường của malware. DGA liên tục tạo ra một danh sách các tên miền dựa trên thuật toán và chỉ để 1 tên miền sống vào 1 thời điểm nhất định, khiến việc chặn một tên miền C&C như thế trở thành điều bất khả thi. Tin tặc lợi dụng DGA có thể qua mặt cơ chế chặn theo tên miền, chống đánh sập tên miền bằng cách đăng ký một tên miền mới với cùng 1 DGA, chống phân tích động và trích xuất tên miền C&C.

Theo hãng bảo mật Bitdefender, malware đã tấn công khoảng 6.000 hệ thống nằm trong mạng botnet 1,5 triệu máy. Việt Nam là nước bị ảnh hưởng nhiều nhất với 1316 hệ thống bị tấn công, cùng với Ấn Độ, Thổ Nhĩ Khì và một số nước châu Âu như Anh, Pháp. Chỉ trong 24 giờ, trên 11.000 lượt máy được ghi nhận đã bị nhiễm malware.

Mặc dù 4 server C&C của Pushdo đã bị đánh sập trong những năm qua nhưng mạng botnet này vẫn tồn tại, tiến hóa và lây lan nhờ liên tục được bổ sung các kỹ thuật né tránh để che giấu giao tiếp của malware với server C&C.

Ngoài DGA, tin tặc còn thay đổi các khóa công khai và khóa bí mật dùng để bảo vệ liên lạc giữa máy tính nhiễm malware và server C&C, tuy nhiên giao thức liên lạc thì vẫn như cũ.

Tin tặc cũng bổ sung một vùng dữ liệu mã hóa vào cuối đoạn mã của malware, có chức năng kiểm tra điều kiện chạy. Nếu những điều kiện quy định trong vùng dữ liệu này không được thỏa mãn, malware sẽ không hoạt động. Kỹ thuật này có thể giúp malware kiểm tra xem file mẫu có bị sửa đổi không để tránh bị phân tích.

Nguồn: The Hacker News
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên