Phần mềm độc hại “được tải trước” cho PC dẫn tới việc chiếm quyền điều khiển

14 September 2012, 14:12

Theo:http://www.h-online.com/security/news/item/Pre-loaded-PC-malware-leads-to-domain-takeover-1708165.html

Bài được đưa lênInternet ngày: 14/09/2012

Lờingười dịch: Bạn phải cẩn thận với các máy tính đểbàn và máy tính xách tay mà bạn mua có nguồn gốc từTrung Quốc. “Microsoft đã phát hiện rằng các máy tínhmới được các nhân viên của mình mua tại các thành phốcủa Trung Quốc đã có các phần mềm độc hại đượccài đặt sẵn lên chúng. Vào tháng 08/2011, hãng nàyđã bắt đầu một cuộc điều tra để xem liệu có bấtkỳ bằng chứng nào ủng hộ cho những phàn nàn rằng cácphần mềm giả mạo và các phần mềm độc hại đã đượcđặt vào trong các máy tính cá nhân trong giây chuyền sảnxuất tại Trung Quốc và gửi cho các nhân viên đểmua 10 máy tính để bàn và 10 máy tính xách tay từ Siêuthị PC (“PC Malls”) tại các thành phố khác nhau tạiTrung Quốc. 4 trong số các máy tính đã được tìm thấyđã có các phần mềm độc hại trong chúng”. Mộttrong những nguy cơ mất an ninh cho hệ thống thông tin làdây chuyền cung ứng, cả phần cứng lẫn phần mềm.

Một Tòa án Quận ởMỹ đã trao cho Microsoft quyền đánhsập các máy chủ chỉ huy và kiểm soát và các miềncủa hơn 500 bẫy phần mềm độc hại. Tòa án Quận ĐôngVirginia đã được Đơn vị chống Tội phạm Số củaMicrosoft yêu cầu cho phép họ vô hiệu hóa các miền đónhư một phần của “Chiến dịch b70”, nó có các gốcrễ của nó trong một nghiên cứu được Microsoft tạiTrung Quốc triển khai.

Microsoft đã phát hiệnrằng các máy tính mới được các nhân viên của mìnhmua tại các thành phố của Trung Quốc đã có các phầnmềm độc hại được cài đặt sẵn lên chúng. Vào tháng08/2011, hãng này đã bắt đầu một cuộc điều tra đểxem liệu có bất kỳ bằng chứng nào ủng hộ cho nhữngphàn nàn rằng các phần mềm giả mạo và các phần mềmđộc hại đã được đặt vào trong các máy tính cá nhântrong giây chuyền sản xuất tại Trung Quốc và gửi chocác nhân viên để mua 10 máy tính để bàn và 10 máy tínhxách tay từ Siêu thị PC (“PC Malls”) tại các thành phốkhác nhau tại Trung Quốc. 4 trong số các máy tính đã đượctìm thấy đã có các phần mềm độc hại trong chúng.

Cũng như việc có cácphần mềm độc hại lan truyền qua các thiết bị USBtrong chúng, một trong 4 máy tính đã đặc biệt lôi cuốncác nhà nghiên cứu vì nó đã bị lây nhiễm với virusNitol. Nitol cài đặt một cửa hậu được sử dụng choviệc đánh sopam hoặc các cuộc tấn công DDoS và botnet màđã được kết nối tới đã được đặt chỗ tại3322.org. Micrsoft đã phát hiện rằng nhà cung cấp đặtchỗ dường như đã quản lý 500 bẫy phần mềm độc hạitrong 70.000 miền con. Đây là phần mềm độc hại khác,Microsoft nói, bao gồm kiểm soát các camera (đầu máy quay)ở xa và xem các cửa hậu và các trình ghi bàn phím.

Dường như làMicrosoft đã không có bất kỳ thành công nào khi tiếp cậnhãng đặt chỗ và vì thế nó đã quyết định áp dụngđể chiếm quyền miền đó thông qua các tòa án và bâygiờ đã được trao quyền, thông qua một lệnh tạm thời,để chiếm quyền kiểm soát miền 3322.org và khóa hoạtđộng của botnet Nitol và các phần mềm độc hại khác.Vì có những miền con hợp pháp của 3322.org, Microsoft đanglọc sự truy cập với sự trợ giúp của Nominum, và chophép giao thông tới chúng trong khi khóa sự truy cập tớicác miền con độc hại.

AUS District Court has given Microsoft permission to takedown the command and control servers and domains of over 500strains of malware. The Eastern District of Virginia was asked byMicrosoft's Digital Crimes Unit to allow them to disable thesedomains as part of "Operation b70", which has its roots ina study carried out by Microsoft in China.

Microsofthas found that new computers purchased by its employees in Chinesecities already had malware installed on them. In August 2011, thecompany began an investigation to see if there was any evidence toback up claims that counterfeit software and malware was being placedonto PCs in the supply chain in China and sent employees to buy tendesktop and ten laptop computers f-rom "PC Malls" in variouscities in China. Four of the computers were found to already havemalware on them.

Aswell as having malware which spread over USB flash drives on them,one of the four machines in particular attracted the researchers'attention because it was infected with the Nitol virus. Nitolinstalls a backdoor used for spam or DDoS attacks and the botnet itwas connected to was hosted at 3322.org. Microsoft found that thehosting provider appeared to host around 500 different strains ofmalware on 70,000 sub-domains. This other malware, says Microsoft,included remote camera control and viewing backdoors and key loggers.

Itappears that Microsoft didn't have any success approaching thehosting company and so it decided to apply to take over the domainthrough the courts and has now been given permission, through atemporary restraining order, to take over control of the 3322.orgdomain and block the operation of the Nitol botnet and the othermalware. As there are legitimate subdomains of 3322.org, Microsoft isfiltering access with the help of Nominum,and allowing traffic to them through while blocking access tomalicious subdomains.

(djwm)

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com