Dữ liệu chỉ ra Grumblar vẫn còn đe doạ

Published: 2009-06-08

Theo:http://www.securityfocus.com/brief/970

Bài được đưa lênInternet ngày: 08/06/2009

Lờingười dịch: Sâu Grumblar của Windows còn nguy hiểm hơnsâu Conficker và vẫn còn đang hoạt động tính tới thờiđiểm này.

Mối đe doạ vì sựtải về, Grumblar, tiếp tục gây ra sự lây nhiễm rộng,dù số lượng các website bị tổn thương với mã nguồnđộc hại này đã giảm từ cuối tháng 05, theo hãng anninh Web là Websense.

Mối đe doạ đa giaiđoạn này, bắt đầu làm tổn thương các website để càiđặt các mã nguồn độc hại mà nó sau đó được sửdụng để lây nhiễm sang các máy tính cá nhân của kháchviếng thăm, đã tăng vọt như tên lửa lên 8 lần vàogiữa tháng 05, theo một nâng cấp được đưa lên blognghiên cứu của hãng Websense hôm thứ sáu. Những kẻ tấncông sử dụng uỷ nhiệm truyền tệp FTP bị đánh cắpđể nhúng giai đoạn đầu của cuộc tấn công lên cácwebsite hợp pháp.

Gary Warner, một giáosư về pháp lý số tại Đại học Alabama, ghi lại mộtnghiên cứu mà ông và các sinh viên của ông đã thựchiện trên một nhóm Facebook bị tổn thương. Nhóm này, cótới 400,000 thành viên, đã chứa một liên kết tới mộtsite độc hại mà nó đã mưu toan làm lây nhiễm nhữngngười viếng thăm bằng Grumblar.

“Các nhật ký củachúng (sự truyền của các site) chỉ ra rằng nội dung độchại đã được tải lên máy chủ của họ bởi mộtkhách viếng thăm từ Ukraine, người đã đăng nhập bằngviệc sử dụng mã số người sử dụng và mật khẩuđúng của quản trị website của chúng”, Warner viết. “Nóđã không phải là một mật khẩu tồi được chọn, vànó cũng không bị ép buộc một cách vũ phu. Họ đã đăngnhập vào thành công trong lần đầu tiên, chỉ ra rằngngười quản trị web của họ có lẽ đã có một khoáđăng nhập chạy tren máy tính ở nhà của anh ta. Nói mộtcách khác, mật khẩu FTP của người quản trị web đã bịbọn tội phạm biết”.

Các cuộc tấn côngnày gán cho “Grumblar” cái tên của website tại Trung Quốcmà những khách viếng thăm tới nó ban đầu đã bị đổihướng, lần đầu tiên đã bị phát hiện vào tháng 03,vút lên vào giữa tháng 05 và đã suy giảm sau đó.

Mộttệp PDF độc hại được tải lên tới các máy tính củanạn nhân bởi Grumblar có chứa cụm từ “Boris likeshorilka”, theo blog của Warner. Horilka là một từ củaUkraine có nghĩa là rượu vodka. Phần mềm này đánh cắpuỷ nhiệm truyền tệp FTP, gửi spam, cài phần mềm chốngvirus rởm, tấn công vào các câu hỏi trong trình tìm kiếmcủa Google, và vô hiệu hoá các phần mềm an ninh.

Thedrive-by-download threat, Grumblar, continues to cause widespreadinfection, through the number of Web sites compromised with themalicious code appears to have declined since late May, according toWeb security firm Websense.

Themulti-stage threat, which first compromises Web sites to installmalicious code that is then used to infect visitors' PCs, rocketedeight-fold in mid-May, according to anup-date posted to Websense's research blog on Friday. Attackersuse stolen FTP credentials to embed the first stage of the attack onlegitimate Web sites.

GaryWarner, a professor of digital forensics at the University ofAlabama, document an investigation he and his students performed on acompromised Facebook group. The group, which boasted 40,000 members,contained a link to a malicious site that attempted to infectvisitors with Grumblar.

"Their(site's transfer) logs indicated that the malicious content wasuploaded to their server by a visitor f-rom the Ukraine, who hadlogged in using their webmaster's correct userid and password,"wroteWarner. "It wasn't a poorly chosen password, and it wasn'tbrute forced. They logged in successfully on the first try,indicating that their webmaster probably had a keylogger running onhis home computer. In other words, the webmaster's FTP password wasknown to the criminals."

Theattacks, dubbed "Grumblar" for the name of the site inChina to which visitors were originally redirected, was firstdetected in March, spikedin mid-May, and has since declined.

Amalicious PDF file uploaded to victim's systems by Grumblar containsthe phrase, "Boris likes horilka," according to Warner'sblog. Horilka is the Ukrainian word for vodka. The softwaresteals FTP credentials, sends spam, installs fake antivirus software,hijacks Google search queries, and disables security software.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com