Phát hiện ra phần mềm độc hại lây nhiễm cho 90,000 máy tính của Úc

Pimpedout malware infects 90,000 Australian computers.

Phầnmềm độc hại 'không thể bị phá hủy' lây nhiễm cho4.5 triệu máy tính với hiệu ứng Stuxnet.

'Indestructable'malware infects 4.5m with Stuxnet efficiency

ByDarren Pauli on Jul 1, 2011 9:55 AM (5 days ago)

Filedunder Security

Theo:http://www.crn.com.au/News/262335,indestructable-malware-infects-45m-with-stuxnet-efficiency.aspx

Bàiđược đưa lên Internet ngày: 01/07/2011

Lờingười dịch: Đây là những đặc tính của phần mềmđộc hại được cho là tinh vi nhất năm 2011, đã lâynhiễm cho khoảng 4.5 triệu máy tính, trong đó có 90,000máy tính tại Úc từ tháng 01 đến tháng 03/2011 và vẫncòn thực sự chưa thể bị phá hủy: “TDL-4 vớii mộtrootkit để vận hành các hệ thống 64 bit, công nghệngang hàng điểm điểm peer - to - peer, một “phần mềmchống virus” có sẵn bên trong, một khả năng lây nhiễmMBR (Master Boot Record) để chạy khi khởi động, và cáckhai thác được Stuxnet sử dụng.... “Những người viếtđã mong muốn đảm bảo họ đã truy cập được vào cácmáy tính bị lây nhiễm thậm chí trong các trường hợpnơi mà các trung tâm kiểm soát botnet bị đánh sập. Nhữngchủ sở hữu của TDL về cơ bản đang cố gắng tạo ramột botnet 'không thể bị phá hủy' , mà chúng được bảovệ để chống lại các cuộc tấn công, các đối thủcạnh tranh và các công ty chống virus....TDSS và botnet hợp nhất tất cả các máy tính mà nó gâylây nhiễm sẽ tiếp tục gây ra các vấn đề cho nhữngngười sử dụng và các chuyên gia an ninh về CNTT”.

Phầnmềm độc hại tinh vi phức tạp nhất thế giới trong nămnay đã lây nhiễm cho khoảng 4.5 triệu máy tính và vẫncòn thực sự chưa thể bị phá hủy, theo các nhà nghiêncứu an ninh tại Kaspersky.

Phầnmềm độc hại TDSS, biến dạng lần thứ 4 của nó TDL-4đã tăng gấp đôi, chữ ký giả, khó cho việc dò tìm rabằng các phần mềm chống virus, đã sử dụng mộtrootkit phức tạp, và mã hóa giao tiếp truyền thông giữacác bots bị lây nhiễm và trung tâm kiểm soát và chỉ huycủa nó.

Nóđã sống sót kể từ năm 2008 và đã từng áp dụng chocác môi trường mới.

Cácnhà phát minh có trụ sở ở Nga của nó được tin tưởngđang nâng cấp TDL-4 vớii một rootkit để vận hành cáchệ thống 64 bit, công nghệ ngang hàng điểm điểm peer -to - peer, một “phần mềm chống virus” có sẵn bêntrong, một khả năng lây nhiễm MBR (Master Boot Record) đểchạy khi khởi động, và các khai thác được Stuxnet sửdụng.

Phầnmềm này đã lây nhiễm cho 90,000 máy tính tại Úc từtháng 01 đến tháng 03, theo các kết quả từ các yêu cầuđược gửi qua giao thức TDL-4.

Nhưngkhông có một máy tính nào ở Nga bị lây nhiễm cả.Eugene Kasspersky, nhà sáng lập công ty an ninh này đã nóitrước đó rằng những người viết ra phần mềm độchại này đã loại trừ các máy tính Nga khỏi bị lâynhiễm để tránh làm nảy sinh sự quan tâm từ cảnh sátđịa phương.

“Nhữngngười viết đã mong muốn đảm bảo họ đã truy cậpđược vào các máy tính bị lây nhiễm thậm chí trong cáctrường hợp nơi mà các trung tâm kiểm soát botnet bịđánh sập. Những chủ sở hữu của TDL về cơ bản đangcố gắng tạo ra một botnet 'không thể bị phá hủy' , màchúng được bảo vệ để chống lại các cuộc tấncông, các đối thủ cạnh tranh và các công ty chốngvirus”, các nhà nghiên cứu Sergey Golovanov và Igor Soumenkovcủa Kaspersky, nói.

Theworld’s most sophisticated malware has this year infected some 4.5million machines and remains virtually indestructible, according tosecurity researchers at Kasperky.

TheTDSS malware, its forth incarnation dubbed TDL-4, dodged signature,heuristic, and proactive anti-virus detection, used a sophisticatedrootkit, and encrypted communication between infected bots and itscommand and control centre.

Infection rates

ItsRussian-based creators are believed to be upgrading TDL-4 with arootkit to operate on 64-bit systems, peer-to-peer technology, aninbuilt “antivirus”, MBR infection capability to run at systemboot, and exploits used by Stuxnet.

Themalware had infected 90,000 computers in Australia between Januaryand March, according to results f-rom crafted requests sent over theTDL-4 protocol.

Butnot one machine in Russia was infected. Eugene Kaspersky, founder ofthe security company had said previously that malware writersexcluded Russian computers f-rom infection to avoid triggeringinterest f-rom local police.

“Writersattempted to ensure they had access to infected computers even incases whe-re the botnet control centres are shut down. The owners ofTDL are essentially trying to cre-ate an ‘indestructible’ botnetthat is protected against attacks, competitors, and antiviruscompanies,” said Kaspersky researchers Sergey Golovanov and IgorSoumenkov.

“TDSSvà botnet hợp nhất tất cả các máy tính mà nó gây lâynhiễm sẽ tiếp tục gây ra các vấn đề cho những ngườisử dụng và các chuyên gia an ninh về CNTT”.

Phiênbản mới nhất đã sử dụng một rootkit để khoác áophần mềm độc hại như Pushdo spambot và các ứng dụngchống virus giả mạo, mà chúng được tải về máy tínhcủa các nạn nhân.

Phầnmềm độc hại chết người này không phải là một sựmay mắn. TDL-4 có chứa một thành phần 'chống virus' cóthể quét các đăng ký để phá hủy các phần mềm độchại khác như Gbot, ZeuS và Clishmic, bao gồm cả các liênkết chỉ huy và kiểm soát từ xa của chúng, đe dọa thổibay lớp vỏ bọc của nó.

Cùngvới những lợi nhuận điển hình từ cài đặt phần mềmđộc hại, những người làm chủ được TDL-4 đang đưara botnet mạnh 4.5 triệu máy của mình như một dịch vụủy quyền nặc danh giữa các máy chủ ủy quyền proxyserver bên trong trình duyệt.

Phiênbản mới nhất cũng có chứa mã hóa được sửa lại. Nóđã hoán đổi thuật toán RC4 với mã nguồn được xâydựng tùy biến có sử dụng các hoán đổi XOR và mộttrình xác định các tham số đánh đối với giao tiếptruyền thông được mã hóa giữa các bot bị lây nhiễmvà các máy chủ chỉ huy và kiểm soát.

Điềunày “đảm bảo rằng botnet sẽ chạy trơn tru, trong khiviệc bảo vệ cấc máy tính bị lây nhiễm từ phân tíchgiao thông mạng, và việc khóa các âm mưu của các tộiphạm không gian mạng khác nhằm chiếm quyền kiểm soátcủa botnet đó”, các nhà nghiên cứu nói.

Cácmáy tính bị lây nhiễm nói chuyện qua một kênh riêng tưtrong mạng điểm - điểm dạng Kad, mà nó giữ cho mộtnhúm các máy tính bị lây nhiễm trong một không gian côngcộng như là sự thừa chống lại những mưu toan đánhvào botnet đó.

Cácnhà nghiên cứu cũng nói phần mềm độc hại lan truyềnthông qua một chương trình liên kết, một thực tế điểnhình, có sử dụng một phần mềm máy trạm phân phốiTDL, và thường tải lên phần mềm độc hại tới cácwebsite khiêu dâm và những kẻ khóa không gian mạng.

“TDSSand the botnet that unites all the computers it infects will continueto cause problems for users and IT security professionals alike.”

Thelatest version used a rootkit to cloak the malware like the Pushdospambot and fake anti-virus apps, which it downloaded to victimmachines.

Rivalmalware was not as lucky. TDL-4 contains an ‘antivirus’ componentthat would scan registries to destroy other malware like Gbot, ZeuSand Clishmic, including their remote command and control links, thatthreaten to blow its cover.

Sergey Golovanov

Theyeven developed a Firefox add-on that allowed users to toggle betweenproxy servers within the browser.

Thelatest version also contained revamped encryption. It had swapped theRC4 algorithm with custom built code that used XOR swaps and a bashparameter identifier to encrypted communication between infected botsand command and control servers.

This“ensures that the botnet will run smoothly, while protectinginfected computers f-rom network traffic analysis, and blockingattempts of other cyber criminals to take control of the botnet”,researchers said.

Infectedmachines talk over a private channel in the Kad peer-to-peer network,but it keeps a handful of infected machines in the public space asredundancy against attempts to hijack the botnet.

Researchersalso said the malware spread through an affiliate program, a typicalpractice, using a TDL distribution client, and typically uploaded themalware to pornographic web sites and cyberlockers.

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com