Sâu của botnet trong tấn công DoS có thể quét sạch dữ liệu các máy tính cá nhân

Botnetworm in DOS attacks could wipe data out on infected PCs

July 10, 2009 2:08 PM PDT

by ElinorMills

Theo:http://news.cnet.com/8301-1009_3-10284281-83.html

Bài được đưa lênInternet ngày: 10/07/2009

Các cuộc tấn côngtừ chối dịch vụ chống lại các website tại Mỹ và HànQuốc mà chúng đã bắt đầu cuối tuần qua có thể đãdừng vào lúc này, nhưng mã nguồn trên các bot bị lâynhiễm đã được thiết lập để quét sạch các dữ liệuvào hôm thứ sáu, các chuyên gia an ninh nói.

Còn chưa có nhữngbáo cáo ngay lập tức về bất kỳ máy tính cá nhân bịtổn thương nào trong bot net có các tệp bị xoá, nhưngđiều đó không có nghĩa là sẽ không xảy ra hoặc sẽkhông có trong tương lai, Gerry Egan, một nhà quản lý sảnphẩm tại nhóm Phản ứng về Công nghệ An ninh củaSymantec, nói.

Chỉ có khoảng 50,000máy tính cá nhân bị lây nhiễm trên thế giới đang đượcsử dụng trong các cuộc tấn công, mà nó là tương đốinhỏ so với hàng triệu máy đã bị lây nhiễm bởiConficker, anh ta nói.

Các cuộc tấn côngđã bắt đầu từ cuối tuần hôm 04/07 khới xướng cáccuộc tấn công DoS phân tán trên hàng chục các site chínhphủ và thương mại của Mỹ và Hàn Quốc. Các cuộc tấncông này, mà chúng lại đã nổi lên ít nhất 2 lần trongtuần, đã làm lây nhiễm các site bao gồm của Nhà Trắng,Uỷ ban Thương mại Liên bang, Dịch vụ Riêng tư và tờWashington Post.

Một trong những tệpđã được đưa vào trên các máy tính cá nhân bị lâynhiễm được lập trình để quét các tệp khỏi máytính cá nhân, bao gồm cả bản ghi khởi động chính, mànó sẽ làm cho hệ thống không hoạt động được khi máytính cá nhân được khởi tạo, Symantec nói. “Về cơbản, hệ thống của bạn có vấn đề nếu thứ nàychạy”, Egan nói.

Chuyên gia về botnetlà Joe Stewart của SecureWorks nói với Washington Post rằngông đã thử Trojan tự huỷ diệt và thấy nó có khảnăng xoá ổ đĩa cứng trên một hệ thống bị lây nhiễm,nhưng chức năng đó còn chưa được bật lên. Ông đãđoán rằng hoặc sẽ có một con rệp trong mã nguồn hoặclà tính năng này được thiết lập để được kích hoạtvào một ngày sau đó.

Thedenial-of-service attacks against Web sites in the U.S. and SouthKorea that started last weekend may have stopped for now, but code onthe infected bots was set to wipe data on Friday, security expertssaid.

Therewere no immediate reports of any of the compromised PCs in the botnethaving files de-leted, but that doesn't mean it wasn't happening orwon't in the future, said Gerry Egan, a product manager in Symantec'sSecurity Technology Response group. (Click herefor Larry Magid's related podcast with Symantec expert.)

Thereare only about 50,000 infected PCs around the world being used in theattacks, which is relatively small compared to the millions that wereinfected with Conficker,he said.

Theattacks started over the July 4 weekend launching distributed DOSattacks on dozens of government and commercial sites in the U.S. andSouth Korea. The attacks, which resurged during the week at leasttwice, affected sites including the White House, the Federal TradeCommission, the Secret Service, and The Washington Post.

Oneof the files d-ropped on infected PCs is programmed to wipe out fileson the PC, including a master boot record, which will render thesystem inoperable when the PC is rebooted, Symantec said. "Basically,your system is in trouble if this executes," Egan said.

Botnetexpert Joe Stewart of SecureWorks told TheWashington Post that he tested the self-destruct Trojan and foundit capable of erasing the hard drive on an infected system, but thatthat function wasn't being triggered. He speculated that either thereis a bug in the code or that the feature is set to activate at alater date.

Các nhà nghiên cứuđang tìm kiếm các botnet khởi xướng các cuộc tấn côngsẽ bị lây nhiễm với vài dạng phần mềm độc hại.Sâu MyDoom đang được sử dụng để lan truyền sự lâynhiễm giữa các máy tính thông qua thư điện tử, Symantecvà các nhà cung cấp phần mềm chống virus khác đã nói.

Một chương trìnhđược gọi là W32.Dozer có chứa các thành phần khác đượcgửi đi bởi W32.Mytob! Tới các địa chỉ thư điện tửtừ máy tính bị tổn thương, Symantec Response Blog nói. Nếumột người sử dụng chạy tệp gắn kèm, W32.Dozer sẽthả Trojan.Dozer ra và W32.Mydoom.A@mmlên máy tính.

Dozer Trojan phục vụnhư một cửa hậu và kết nói tới các địa chỉ IPthông qua các cổng nào đó, cho phép nó tự cập nhật bảnthân và sẽ nhận lệnh trên các site để tấn công, theoSymantec. Còn chưa rõ liệu các cuộc tấn cồng DoS này cósẽ xảy ra nữa hay không vì các máy tính cá nhân bị lâynhiễm có thể nhận được những mệnh lệnh mới bấtkỳ lúc nào, Egan nói.

“Không có thông tinvà câu chuyện gì mới trong công nghệ này”, ông nói.

Researchers are findingthat the botnets launching the attacks are infected with severaltypes of malware. The MyDoom worm is being used to spread infectionsbetween computers via e-mail, Symantec and other antivirus vendorshave reported. Việc am hiểu bởi các site nổi tiếng bịtấn công nó có lẽ là các kể tấn công chỉ đang cốgắng gây ra sự chú ý, ông nói.

Các quan chức Hànquốc đã nói cho các nhà báo hôm thứ sáu rằng các cuộctấn công DoS đã sử dụng 86 địa chỉ IP tại 16 quốcgia, bao gồm cả Hàn Quốc, Mỹ, Nhật và Guatemala, nhưngkhông phải là Bắc Triều Tiên, theo một báo có có liênquan tới giới báo chí.

Ảnh: chỉcách mà các thành phần khác nhau của phần mềm độc hạitrong sự tương tác của botnet từ chối dịch vụ.

Ad-ropper program called W32.Dozer that contains the other componentsis sent by W32.Mytob!gen to e-mail addresses it gathers f-rom thecompromised computer, the SymantecResponse Blog says. If a user executes the attachment, W32.Dozerd-rops Trojan.Dozer and W32.Mydoom.A@mm on the system.

TheDozer Trojan serves as a backdoor and connects to IPs through certainports, allowing it to up-date itself and to receive instructions onsites to attack, according to Symantec. It's unclear if the DOSattacks will happen again because the infected PCs can receive newinstructions at any time, Egan said.

"Thereis nothing new or novel in the technology," he said. Judging bythe high-profile sites attacked it's likely the attackers are justtrying to get attention, he added.

SouthKorea officials told reporters on Friday that the DOS attacks used 86IP addresses in 16 countries, including South Korea, the U.S., Japan,and Guatemala, but not North Korea, according to an Associated Pressreport.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com