Chuyển mạch chết chóc của Botnet: 100,000 máy bị phá huỷ

Thứ bảy - 23/05/2009 07:09

Botnet Kill Switch: 100,000 BSODs

posted by Thom Holwerda on Fri 8th May 2009 22:48 UTC

Theo: http://www.osnews.com/story/21461/Botnet_Kill_Switch_100000_BSODs

Bài được đưa lên Internet ngày: 08/05/2009

Lời người dịch: Phần mềm độc hại cho Windows có tên là Zeus thậm chí còn được bán cho những kẻ thích phá hoại với giá 70USD/bộ. “Trong mọi trường hợp, tất cả lý do là hãy đảm bảo an ninh một cách đúng đắn nhiều hơn cho các máy tính Windows của bạn, hoặc chuyển sang các giải pháp thay thế như Linux hoặc Mac OS X”.

Ít năm trước, dường như những người viết virus đã chuyển khỏi việc làm hư hại cho các hệ thống thay bằng việc tập trung vào ăn cắp, thế nên các máy tính bị lây nhiễm có thể được sử dụng một cách âm thầm và không ai biết, cho tất cả các loại thực hành độc hại. Thật đáng buồn, vẫn còn có những kẻ phá hoại mà thích thú hơn với tiếp cận theo cách cũ về vấn đề này. Kết quả là: 100,000 máy tính Windows bị phá huỷ (xem đường link bên dưới).

Zeus là một họ các phần mềm độc hại của Windows mà nó là đặc chủng trong việc có khả năng kỳ lạ được xem là hoàn toàn duy nhất trên mỗi máy tính bị lây nhiễm, là cho nó rất khó bị phát hiện và loại bỏ. Zeus được bán trong các bộ với giá khoảng 70USD cho tất cả những dạng người với những mong muốn phạm tội.

Zeus cũng đặc biệt vì một lý do khác: Nó có một chuyển mạch chết người, được gọi là “KOS” (giết hệ điều hành). Tệp trợ giúp (!) có thứ này để nói về nó (dịch của Google):

KOS – Hệ điều hành mất hết khả năng, ấy là sự đăng ký theo nhánh nhỏ HKEY_CURRENT_USER và/hoặc HKEY_LOCAL_MACHINE. Nếu bạn có đủ các quyền ưu tiên – hãy bay tới “màn hình xanh” [chỉ sự hỏng của hệ điều hành], trong các trường hợp khác sẽ tạo ra những cỗ phanh [làm máy chạy chậm như rùa]. Làm theo các bước sau, việc tải hệ điều hành sẽ không còn có thể được nữa!

Roman Hüssy, một chuyên gia công nghệ thông tin của Thuỵ Sĩ 21 tuổi, đi theo một loạt các máy chủ Zeus, và đã ngạc nhiên học được rằng chuyển mạch này thực sự đã được sử dụng trong một botnet với khoảng 100,000 máy tính, nằm chủ yếu là tại Balan và Tây Ban Nha. Điều này là ngạc nhiên vì nó tính tới năng suất lao động cho các tin tặc để tắt một botnet.

Hüssy nói ông không biết vì sao chuyển mạch chết người đã bị đánh. “có thể botnet đã bị tấn công bởi nhóm tội phạm khác”, ông nói. Cũng có thể, ông giải thích, rằng nó xảy ra ngẫu nhiên. “Nhiều tội phạm không gian mạng sử dụng bộ phần mềm tội phạm Zeus không có kỹ năng lắm”.

Có thể một giải thích khác, được đưa ra bởi S21sec.org, là việc botnet đã bị tắt sao cho những tin tặc có thêm một số thời gian. “Đưa nạn nhân ra khỏi kết nối Internet – trước khi sự chuyển tiền không mong muốn được hiện thực hoá và các hành động tiếp theo có thể sẽ được thực hiện”.

Trong mọi trường hợp, tất cả lý do là hãy đảm bảo an ninh một cách đúng đắn nhiều hơn cho các máy tính Windows của bạn, hoặc chuyển sang các giải pháp thay thế như Linux hoặc Mac OS X.

The past few years, it seemed as if virus writers had moved away f-rom doing actual damage to systems to instead focus on stealth, so that infected machines can silently, and unknowingly, be used for all sorts of malicious practices. Sadly, there are still those crackers out there that prefer the old-fashioned approach to these matters. The result: 100000 ruined Windows machines.

Zeus is a family of Windows malware that is special in that it has the uncanny ability to look completely unique on every infected machine, making it very hard to detect and remove it. Zeus is sold in kits for about 700 USD to all sorts of people with criminal intentions.

Zeus is also special for another reason: it has a kill switch, called "kos" (kill operating system). The help file (!) has this to say about it (Google translation):

kos - incapacitate OS, namely grip branches HKEY_CURRENT_USER registry and / or HKEY_LOCAL_MACHINE. If you have sufficient privileges - fly to "blue screen", in other cases cre-ates the brakes. Following these steps, loading OS will not be possible!

Roman Hüssy, a 21-year-old Swiss information technology expert, follows various Zeus servers, and was surprised to learn that this switch had actually been used on a botnet of about 100000 machines, located mostly in Poland and Spain. This is surprising because it's counterproductive for crackers to shutdown a botnet.

Hüssy says he has no idea why the kill switch was flicked. "Maybe the botnet was hijacked by another crime group," he said. It could also be, he explained, that it happened by accident. "Many cyber criminals using the Zeus crimeware kit aren't very skilled."

Another likely explanation, offered by S21sec.org, is that the botnet was shutdown so that the crackers get some extra time. "Taking the victim away f-rom Internet connection - before the unwanted money transfer is realized and further actions could be taken."

In any case, all the more reason to properly secure your Windows machines, or to switch to al-ternatives such as Linux and Mac OS X.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com