Các chuyên gia: Cuộc tấn công của Gumblar đang diễn ra, còn tệ hơn cả Conficker

May 28, 2009 5:29 PM PDT

by Elinor Mills

Theo: http://news.cnet.com/8301-1009_3-10251779-83.html

Bài được đưa lên Internet ngày: 28/05/2009

Lời người dịch: Chúng ta đều đã biết tới sâu Conficker, một loại phần mềm độc hại của Windows, hoạt động từ tháng 10/2008 tới nay, được đánh giá là một sâu có sức tàn phá lớn nhất từ trước tới nay, ước tính gây thiệt hại có thể đã lên tới 9,1 tỷ USD. Thế nhưng với sâu Windows mới là Gumblar, các chuyên gia cho rằng nó còn tệ hại hơn cả Conficker, thì không biết nó sẽ gây thiệt hại đến thế nào? Cho tới nay, “Cách hiệu quả nhất để chữa trị một lây nhiễm [Gumblar] là định dạng lại một cách toàn phần [ổ cứng] và cài đặt lại, theo ScanSafe. Các mật khẩu hoặc các chi tiết đăng nhập mà đã được lưu hoặc sử dụng trên các máy tính bị lây nhiễm cũng phải được thay đổi”. Có lẽ cách hiệu quả hơn là vứt bỏ Windows và cài đặt GNU/Linux chăng? Đằng nào mà chẳng phải đập hết đi làm lại từ đầu rồi còn gì?

Xem thêm: Gia tăng các cuộc tấn công tải về được dẫn dắt bởi phần mềm độc hại Grumblar

Cuộc tấn công làm hại các website được biết tới như Gumblar đã bổ sung thêm những cái tên miền mới mà chúng đang tải về các phần mềm độc hại lên các máy tính không có ngờ vực gì, ăn cắp các uỷ quyền truyền tệp FTP để làm hại nhiều site hơn nữa, và làm xáo trộn giao thông của Web, một hãng an ninh đã nói hôm thứ năm.

Cuộc tấn công của Gumblar đã bắt đầu vào tháng 03 với các website đang bị tổn thương và các mã tấn công được dấu trên các site đó. Ban đầu, các phần mềm độc hại được tải về các máy tính truy cập các website này tới từ miền gumblar.cn, một tên miền của Trung Quốc có liên quan với các địa chỉ IP của Nga và Latvia mà chúng đã phổ biến các mã nguồn từ các máy chủ tại Anh, ScanSafe nói vào tuần trước.

Khi những người vận hành các website đã dọn dẹp sạch các site của họ, thì những kẻ tấn công đã thay đổi mã nguồn độc hại ban đầu bằng JavaScript được tạo ra và làm nghi binh một cách năng động, làm khó cho các công cụ an ninh xác định được ra. Những Scripts này mưu toan khai thác tính dễ bị tổn thương trong Acrobat Reader và Flash Player của Adobe để phân phối mã nguồn mà chúng tiêm vào các kết quả tìm kiếm độc hại khi một người sử dụng tìm kiếm qua Google trên Internet Explorer, cũng như tìm kiếm hệ thống của nạn nhân đối với những uỷ nhiệm truyền tệp FTP mà chúng có thể được sử dụng để làm hại các website bổ sung khác.

Miền này đã được thay đổi thành martuz.cn trước khi cả 2 miền đã bị đóng cửa. Và bây giờ, các phần mềm độc hại đang tới từ các site bao gồm cả liteautotop.cn và autobestwestern.cn, trong số những site khác, theo ScanSafe.

“May sao, dường như các máy chủ tên miền bản thân chúng đang được tắt”, hãng này nói trong một tuyên bố. “Tuy nhiên, ngay cả sau khi các cuộc tấn công có liên quan tới Gumblar giảm đi, thì các tội phạm không gian mạng sẽ vẫn còn sở hữu botnet của các máy tính đã bị lây nhiễm có được thông qua Gumblar”.

The Web site compromise attack known as Gumblar has added new domain names that are downloading malware onto unsuspecting computers, stealing FTP credentials to compromise more sites, and tampering with Web traffic, a security firm said on Thursday.

The Gumblar attack started in March with Web sites being compromised and attack code hidden on them. Originally, the malware downloaded onto computers accessing those sites came f-rom the gumblar.cn domain, a Chinese domain associated with Russian and Latvian IP addresses that were delivering code f-rom servers in the U.K., ScanSafe said last week.

As Web site operators cleaned up their sites, the attackers replaced the original malicious code with dynamically generated and obfuscated JavaScript, making it difficult for security tools to identify. The scripts attempt to exploit vulnerabilities in Adobe's Acrobat Reader and Flash Player to deliver code that injects malicious search results when a user searches Google on Internet Explorer, as well as search the victim's system for FTP credentials that can be used to compromise additional Web sites.

The domain was changed to martuz.cn before both domains were shut down. And now, the malware is coming f-rom sites including liteautotop.cn and autobestwestern.cn, among others, according to ScanSafe.

"Fortunately, it appears the name servers themselves are being shut down," the company said in a statement. "However, even after Gumblar-related attacks subside, cyber criminals will still possess the botnet of infected computers obtained via Gumblar."

ScanSafe cho rằng Gumblar còn tồi tệ hơn là Conficker, một sâu mà lan truyền thông qua một lỗ hổng trong Windows, thông qua các thiết bị lưu trữ mang xách được và thông qua việc chia sẻ mạng với những mật khẩu yếu, cũng như làm vô hiệu hoá các phần mềm an ninh và cài đặt các phần mềm chống virus giả vào.

Gumblar, mà đã chịu trách nhiệm về 37% tất cả các phần mềm độc hại đã bị khoá bởi ScanSafe trong 2 tuần đầu của tháng 05, có hành vi còn bừa bãi hơn – nó chắn và theo dõi giao thông của Web, cũng như cài đặt một Trojan (virus độc hại) để ăn cắp dữ liệu mà nó đã ăn cắp được các tên và mật khẩu từ các máy tính bị lây nhiễm, ScanSafe nói.

Hơn nữa, trong khi sự lây nhiễm của Conficker là có thể chữa trị không còn lan truyền hơn nữa sâu này. Trong khi đó, Gumblar có thể sử dụng uỷ nhiệm truyền tệp FTP mà nó ăn cắp được để làm hại còn nhiều hơn nữa các website, tạo ra một cách tiềm năng nhiều nạn nhân hơn nữa, hãng này nói.

Để tìm ra liệu một máy tính có bị lây nhiễm [Gumblar] hay không:

1. Xác định vị trí của sqlsodbc.chm trong thư mục hệ thống của Windows (ngầm định theo Widnows XP, vị trí này là C:\Windows\System32\)

2. lấy Sha1 của sqlsodbc.chm được cài đặt. FileAlyzer là một công cụ mà có thể được sử dụng để lấy SHA1 của một tệp.

3. So sánh Sha1 lấy được với danh sách nằm trên ScanSafe STAT Blog;

4. Nếu SHA1 và kích thước tệp tương ứng không trùng nhau với một cặp trong danh sách tham chiếu, thì có thể là một dấu hiệu của một sự lây nhiễm Gumblar.

Cách hiệu quả nhất để chữa trị một lây nhiễm là định dạng lại một cách toàn phần [ổ cứng] và cài đặt lại, theo ScanSafe. Các mật khẩu hoặc các chi tiết đăng nhập mà đã được lưu hoặc sử dụng trên các máy tính bị lây nhiễm cũng phải được thay đổi.

ScanSafe contends that Gumblar is worse than Conficker, a worm that spreads via a hole in Windows, through removable storage devices and network shares with weak passwords, as well as disables security software and installs fake antivirus software.

Gumblar, which was responsible for 37 percent of all malware blocked by ScanSafe during the first two weeks in May, has more intrusive behavior--it intercepts and monitors Web traffic, as well as installs a data-theft Trojan that steals usernames and passwords f-rom infected computers, ScanSafe said.

In addition, once a Conficker infection is remediated there is no further spread of the worm. However, Gumblar can use the FTP credentials it steals to compromise even more Web sites, potentially exposing many more victims, the company said.

To find out if a computer is infected:

1) Locate sqlsodbc.chm in the Windows system folder (by default under Windows XP, the location is C:\Windows\System32\);

2) Obtain the Sha1 of the installed sqlsodbc.chm. FileAlyzer is a free tool that can be used to obtain the SHA1 of a file;

3) Compare the obtained Sha1 to the list located on the ScanSafe STAT Blog;

4) If the SHA1 and corresponding file size do not match with a pair on the reference list, it could be an indication of a Gumblar infection.

The most effective way to remedy an infection is to do a full reformat and reinstallation, according to ScanSafe. Passwords or login details that were stored or used on infected machines should also be changed.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com