Trojan lan truyền thông qua lỗ hổng mới của Windows

Trojanspreads via new Windows hole

15 July 2010, 16:28

Theo:http://www.h-online.com/security/news/item/Trojan-spreads-via-new-Windows-hole-1038992.html

Bài được đưa lênInternet ngày: 15/07/2010

Lờingười dịch: Trojan mới đánh vào lỗ hổng chưa từngbiết của Windows mà không cần có sự tương tác vớingười sử dụng.

Các chuyên gia chốngvirus nói rằng một trojan mới đang lan truyền thông quacác ổ USB, hình như khai thác một lỗ hổng còn chưa đượcbiết trong Windows. Theo các phân tích của nhà cung cấpphần mềm diệt virus của Belarusia VirusBlokAda, một bảnsao của trojan này lây nhiễm hoàn toàn cho hệ điều hànhWindows 7 được vá mà không phải phân loại lại đốivới các công cụ tự động khởi động thông thườngnhư là autorun.inf khi một ổ USB mang theo trojan này đượccắm vào. Thay vì việc lan truyền thông qua auto-start, phầnmềm độc hại sẽ khai thác một lỗ hổng trong mã đốivới việc xử lý các tệp .lnk: Một khi biểu tượng phùhợp được hiển thị trong Windows Explorer, thì mã độcđược tải lên mà không cần bất kỳ sự tương tác nàovới người sử dụng.

Trojan khai thác điềunày để cài đặt 2 trình điều khiển với các chứcnăng rootkit được thiết kế để ẩn dấu đi những hoạtđộng tiếp sau của nó bên trong hệ thống. Thật thú vị,cả 2 trình điều khiển này sẽ được ký với một khóaký mã bởi nhà cung cấp RealTek và có thể, vì thế, đượccài đặt trên một hệ thống mà không có việc bật lênmột cảnh báo. Chỉ mới gần đây, nhà cung cấp phầnmềm chống virus F-Secure đã chỉ ra rằng số lượng cácphần mềm độc hại được ký đối với Windows đang giatăng. Trong một số trường hợp, các khóa số còn bị ăncắp từ các lập trình viên.

Một cuộc điều tracủa nhà phân tích phần mềm độc hại Frank Boldewin đãchỉ ra rằng không chỉ bất kỳ trojan cũ nào cũng đượcthiết kế để thu thập các mật khẩu từ những ngườisử dụng không có nghi ngờ. Dường như là các phần mềmđộc hại tập trung đặc biệt vào các hệ thống kiểmsoát tiến trình và các thành phần ảo hóa của chúng. Vìthế trojan này hình như sẽ lan truyền trên một phạm virộng lớn.

Trong quá trình điềutra, Boldewin đi qua một số câu truy vấn cơ sở dữ liệumà trojan này đã làm mà nó chỉ tới hệ thống WinCCSCADA của Siemens. Như Boldewin đã giải thích trong một thưđiện tử cho site H về an ninh, một lập trình viên phầnmềm độc hại “thông thường” có thể đã thực hiệnđiều đó. Boldewin tiếp tục: “Vì hệ thống SCADA củaSiemens được sử dụng bởi nhiều chính phủ và cácdoanh nghiệp khắp thế giới, nên chúng ta phải giả thiếtrằng dự kiến của những kẻ tấn công là gián điệpcông nghiệp hoặc ngay cả là gián điệp trong khu vựcchính phủ”. Frank Boldewin là tác giả của bài viết nổitiếng “Câu chuyện 2: Hình ảnh của cái chết” trongloạt bài “CSI: Internet” của chúng tôi.

Microsoft đã đượcthông báo về sự tổn thương này, nhưng dường như cónhững vấn đề với việc tái tạo lại nó. Andreas Marxcủa AV-Test nói rằng mỗi tệp .Ink được liên kết tớiID của ổ USB bị lây nhiễm. Điều này có nghĩa là cáctrojan ví dụ được tìm thấy cho tới nay không thể đơngiản được khởi tạo trên một hệ thống Windows tùy ý- phần mềm độc hại này sẽ chỉ khởi động trongtrình dò tìm lỗi OllyDbg sau một số sửa đổi mã nguồn.

Anti-virusspecialists report that a new trojan is spreading via USB flashdrives, apparently exploiting a previously unknown hole in Windows.According to analysesby Belarusian AV vendor VirusBlokAda, a copy of the trojan managed toinfect a fully patched Windows 7 system (32-bit) without having toresort to such common auto-start tools as autorun.infwhen a Flash drive carrying the trojan was plugged in. Instead ofspreading through auto-start, the malware exploits a flaw in the codefor processing short-cuts (.lnk files): Once the relevant icon isdisplayed in Windows Explorer, malicious code is launched without anyfurther user interaction.

Thetrojan exploits this to install two drivers with rootkit functionsdesigned to hide its subsequent activities within the system.Interestingly, both drivers are signed with a code-signing key byvendor RealTek and can, therefore, be installed on a system withouttriggering an alert. Only recently, AV vendor F-Secure pointedout that the amount of signed malware for Windows is increasing.In some cases, digital keys have even been stolen f-rom developers.

Aninvestigation by malware analyst Frank Boldewin has shown that thisis not just any old trojan designed to harvest passwords f-romunsuspecting users. It appears that the malware specifically targetsprocess control systems and their visualisation components. Thetrojan is, therefore, unlikely to spread on a large scale.

Duringhis investigation, Boldewin cameacross some database queries the trojan made that point towardsthe WinCCSCADA system by Siemens. As Boldewin explained in an email to The H'sassociates at heise Security, a "normal" malware programmerwouldn't have managed to do that. Boldewin continued "As thisSiemens SCADA system is used by many governments and industrialenterprises worldwide, we must assume that the attackers' intentionwas industrial espionage or even espionage in the government area".Frank Boldewin is the author of the feature article "Episode2: The image of death" in our "CSI:Internet"series.

Microsofthas been informed about the vulnerability, but appears to haveproblems with reproducing it. Andreas Marx of AV-Testsays that every .lnk file is linked to the ID of the newly infectedUSB Flash drive. This means that the sample trojans found so farcan't simply be started on an arbitrary Windows system – themalware will only start in the OllyDbgdebugger after some modifications to the code.

(crve)

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com