Trojan ẩn trong sự phục hồi của Windows

Trojanhides in Windows recovery

25.09.2009 12:32

Theo:http://www.heise.de/english/newsticker/news/145912

Bài được đưa lênInternet ngày: 25/09/2009

Lờingười dịch: Lại một virus siêu hạng nữa cho các máytính cá nhân Windows, gọi là Dogrobot thế hệ thứ 5. Chúngsẽ vẫn sống sót thậm chí sau khi máy tính bị lây nhiễmphục hồi lại Windows. Theo các chuyên gia, việc nó đangđược tập trung vào việc ăn cắp các dữ liệu đăngnhập của những người chơi trò chơi trực tuyến tạiTrung Quốc rồi bán các thông tin này, có thể gây thiệthại tới 1.2 tỷ USD. Không rõ các cao thủ chơi game onlinecủa Việt Nam thì thế nào nhỉ? Có thể họ cũng đang có“lợi đơn, lợi kép” trong việc này chăng?

Theo một báo cáo củachuyên gia về virus của Microsoft là Chun Feng tại hội nghịvề phần mềm độc hại Virus Bulletin tại Geneva, bọntội phạm đang tiến hành việc gián điệp các dữ liệuđăng nhập trò chơi trực tuyến của người sử dụngtại các quản cà phê internet ở Trung Quốc và tiếp đóbán những thông tin này được cho là sẽ gây ra thiệthại tới 1.2 tỷ USD. Bọn tội phạm sử dụng trojanDogrobot, mà nó ẩn mình trong hệ thống và có thể cònsống sót được sau một sự phục hồi hệ thốngWindows.

Theo Chun Feng, phầnmềm độc hại này khai thác một cửa hậu trong sự phụchồi hệ thống Windows và một chỗ dễ bị tổn thươngtrong “Các thẻ phục hồi đĩa cứng” mà nó là mộtphần của nhiều máy tính cá nhân tại các quán cà phêinternet ở Trung Quốc. Những thẻ này được thiết kếđể được phục hồi lại sau một sự cố. Gstor-Plus củaExcelstor chào một tính năng tương tự, nhưng cho tới naytại châu Âu dạng hệ thống này còn không giành đượcnhiều sự chấp nhận.

Bây giờ nói sẽ làhiện thân lần thứ 5 của người máy chó (Dogrobot), mànó sử dụnghàng loạt các kỹ thuật của bộ công cụnày, mà nó là đang được lưu thông. Trong khi biến thểđầu tiên đã chỉ gây tổn thương cho Lớp Quản lý Sốlượng Windows, thì phiên bản mới nhất được cho là mócđược vào Lớp Điều khiển Cổng IDE/ATAPI của Windows đểẩn nấp ở đó. Chun Feng đã không cung cấp bất kỳ chitiết nào hơn nữa, và bài trình bày mới nhất của ôngta còn chưa sẵn sàng cho việc tải về. Chuyên gia này đãchỉ ra rằng Dogrobot có thể điều khiển các Thẻ Phụchồi Đĩa Cứng trong hội nghị Virus Bulletin năm 2008.

Dogrobot được phóngvào trong các máy tính cá nhân sử dụng các chỗ dễ bịtổn thương như các lỗ hổng của trình duyệt. Nó cũngsử dụng các cuộc tấn công đầu độc bộ nhớ đệmARP để lái các máy tính cá nhân Windows khác vào mộtmạng cục bộ tới các trang web đặc biệt xảo quyệt vàgây lây nhiễm cho chúng bằng cách này. Trojan này cũng lantruyền thông qua ổ USB.

Accordingto a report by Microsoft virus specialist Chun Feng at the VirusBulletin malware conference in Geneva, criminals spying out users'online gaming login data in Chinese internet cafes and subsequentlyselling this information are said to have caused 1.2 billion USdollars in damage. The criminals use the Dogrobot trojan, which hidesin the system and can even survive a Windows system recovery.

Accordingto Chun Feng, the malware exploits a back door in the Windows systemrecovery and a vulnerability in the "Hard Disk Recovery Cards"that are part of many PCs in Chinese internet cafes. The cards aredesigned to prevent hard disk write access to avoid problems such asvirus infections, and allow a system to be recovered after a problem.Excelstor's GStor-Plus offers a similar feature, but so far in Europethis type of system has not gained much acceptance.

Itis now said to be the fifth incarnation of Dogrobot, which usesvarious root kit techniques, that is in circulation. While the firstvariant only compromised the Windows Volume Management Layer, thelatest version reportedly hooks into the Windows IDE/ATAPI PortDriver Layer to hide there. Chun Feng didn't provide any furtherdetails, and his latest presentation in not yet available todownload. The specialist already pointed out that Dogrobot can handleHard Disk Recovery Cards at the Virus Bulletin 2008 conference.

Dogrobotis injected into PCs using vulnerabilities such as browser holes. Italso uses ARP cache poisoning attacks to redirect other Windows PCsin a local network to specially crafted web pages and infect themthis way. The trojan also spreads via USB flash drives. (jk/c't)

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com