“Bom máy in” lan truyền có sử dụng các tệp .htaccess bị tổn thương

Thứ sáu - 20/07/2012 07:30

PrinterBomb" spread using compromised .htaccess files

5 July 2012, 13:19

Theo:http://www.h-online.com/security/news/item/Printer-Bomb-spread-using-compromised-htaccess-files-1632779.html

Bài được đưa lênInternet ngày: 05/07/2012

Ảnhcủa Symantec về sự tái định tuyến .htaccess. Nguồn:Symantec

Symantec's diagram of.htaccess redirection
Source: Symantec

Lờingười dịch: Xuất hiện loại trojan mới gọi là “Bommáy in” một khi làm tổn thương các máy tính thì sẽlệnh cho các máy in để in liên tục các ký tự ráccho tới khi hết giấy. Xem thêm: Cậpnhật phần dẻo làm giảm nhẹ các vấn đề an ninh máyin LaserJet của HP.

Các tệp .htaccess bịtổn thương trong các máy chủ web đã cho phép trojan “Bommáy in” lan truyền, một nhà nghiên cứu của Symantec nói.Trojan “Bom máy in”, Symantec đặt tên là Trojan.Milicenso,từng đáng lưu ý vì việc tạo ra các công việc in ấnkhổng lồ của các ký tự rác làm cho các máy in sử dụnghết giấy. Những điều tra ban đầu của công ty an ninhđã phát hiện phần mềm độc hại đưa ra mẫu chung lantruyền hoặc qua các tệp gắn kèm thư điện tử độchại hoặc qua các website đặt chỗ cho các scripts độchại, và được thiết kế cho việc phân phối các tảicông việc khác nhau.

Nhưng sự điều tratiếp đã phát hiện rằng phần mềm độc hại sử dụngcác tệp .htaccess được sửa đổi trên các website bịtổn thương âm thầm gửi cho những người sử dụng đểtải về phần mềm độc hại Milicenso. Các tệp .htaccessđược sử dụng trên các máy chủ web để giúp kiểmsoát truy cập tới các thư mục và các nội dung củachúng trên cơ sở từng thư mục một. Chúng cũng có khảnăng viết lại các URL và tái định tuyến các trìnhduyệt và chính khả năng này mà các tác giả của phầnmềm độc hại đã và đang sử dụng. Bằng việc tảilên tệp .htaccess của riêng chúng lên các máy chủ, nhữngngười viếng thăm máy chủ bị tổn thương có thể âmthầm được gửi tới site tác giả của phần mềm độchại, nơi mà các trojan có thể được tải về và đượccài đặt.

Theo Symantec, sự táiđịnh tuyến được kiểm soát cẩn thận bằng tệp.htaccess. Các qui định tới khoảng 1600 dòng trắng ởđỉnh và đáy của tệp để tránh bị tóm bởi ngườiđọc một cách ngẫu nhiên.

Compromised.htaccess files on web servers allowed the "Printer Bomb"trojan to spread, says a Symantecresearcher. The "Printer Bomb" trojan, namedTrojan.Milicenso by Symantec, was notable for creating massive printjobs full of garbage c-haracters that made printers run out of paper.The security company's initialinvestigations revealed malware exhibiting the common pattern ofspreading either through malicious email attachments or through websites hosting malicious scripts, and designed for deliveringdifferent payloads.

Butfurther investigation has revealed that the malware uses modified.htaccess files on compromised web sites to silently send users todownload the Milicenso malware. .htaccessfiles are used on web servers to help control access to directoriesand their contents on a per directory basis. They are also capable ofrewriting URLs and redirecting browsers and it is this capabilitythat the malware authors have been making use of. By uploading theirown .htaccess file to servers, visitors to the compromised server canbe silently sent to the malware author's site whe-re trojans can bedownloaded and installed.

Accordingto Symantec, the redirection is carefully controlled by the .htaccessfile. The rules come between 1600 blank lines at the top and bottomof the file to avoid being spotted by a casual reader.

Các qui định nóirằng những người sử dụng sẽ chỉ bị tái địnhtuyến nếu đây là cuộc viếng thăm đầu tiên tới site,rằng mối liên kết mà dẫn tới site nằm trong các kếtquả của máy tìm kiếm hoặc thư điện tử (nên các URLđược đánh dấu hoặc được dán sẽ không làm việc),và rằng nạn nhân đang chạy một trình duyệt web phổbiến trong Windows (nên các máy tìm kiếm không nhặt rađược sự thay đổi).

Symantec tin tưởngbăng đảng có trách nhiệm đã và đang sử dụng sự táiđịnh tuyến của .htaccess kể từ năm 2010 và, năm nay, đãvà đang thay đổi miền .htaccess được sửa đổi gửi đicho những người sử dụng trên cơ sở hàng ngày. Cho tớinay, 4.000 website khác nhau đã và đang được xác địnhtái định tuyến cho những người sử dụng tới các siteđộc hại, dù hầu hết trong số họ là các site cá nhânhoặc các hoặc của doanh nghiệp nhỏ, một số của chínhphủ, các dịch vụ viễn thông và tài chính cũng đượcnói bị tổn thương.

Therules say that users will only be redirected if it's their firstvisit to the site, that the link that led to the site was in searchengine results or email (so bookmarked or pasted URLs won't work),and that the victim is running a popular web browser on Windows (sosearch engines don't pick up on the change).

Symantecbelieves the gang responsible has been using .htaccess redirectionsince at least 2010 and has, this year, been changing the domain themodified .htaccess sends users to on a daily basis. So far, 4000different web sites have been identified redirecting users to themalicious sites, though most of them are personal or small businesssites, a number of government, telecoms and financial services sitesare also said to be compromised.

(djwm)

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com