QuanTriMang.com - Với tên gọi P2P Worm – chúng chủ yếu lây lan qua mô hình chia sẻ mạng ngang hàng (như Kazaa, Grokster, EDonkey, FastTrack, Gnutella … ), hầu hết hoạt động theo cách thức khá đơn giản: để xâm nhập vào mạng P2P, tất cả những gì chúng cần làm là tự sao chép chính nó vào các thư mục chia sẻ – những thư mục như này thường ở trên các máy local. Và mô hình mạng P2P sẽ “vô tình” làm nốt phần việc còn lại: mỗi khi yêu cầu tìm thấy 1 tập tin nào đó được thực hiện, nó sẽ thông báo cho người dùng rằng những tập tin đó có thể được tải về (từ máy tính đã bị lây nhiễm).
Ngoài ra, còn có 1 số loại P2P-Worm với cơ chế hoạt động và lây nhiễm phức tạp hơn rất nhiều: chúng bắt chước mô hình mạng của 1 hệ thống chia sẻ dữ liệu cụ thể, đồng thời phản hồi lại tất cả các yêu cầu, truy vấn tìm kiếm từ phía người sử dụng.
Mẫu phần mềm độc hại này được phát hiện vào ngày 18 / 08 /2010 lúc 13:59 GMT, bắt đầu lây lan và hoạt động cùng ngày 18/08/2010 lúc 20:24 GMT, được thông bố đầy đủ thông tin nhận diện chỉ sau đó 2 ngày tức là 20/08/2010 lúc 09:51 GMT.
Mô tả về mặt kỹ thuật
Để hoạt động, những loại sâu này ngăn chặn toàn bộ yêu cầu của người sử dụng và chuyển hướng tất cả tới đường dẫn URL có chứa mã độc. Đồng thời, chúng còn đi kèm với công cụ chuyên để gửi những tin nhắn lừa đảo tới phía người dùng. Chúng chủ yếu lan truyền qua email và mạng ngang hàng P2P. Về bản chất, chúng là những file Windows PE EXE, với dung lượng khoảng 300KB và mã nguồn của chúng được viết bằng ngôn ngữ C++.
Khi được kích hoạt, chúng sẽ tự động sao chép các file thực thi vào những thư mục hệ thống của Windows:
%system%\HPWuSchdq.exe
Đồng thời tiếp tục giải nén các gói đi kèm và các file thực thi khác trên ổ cứng – đây thực chất là những phần khác nhau của các chương trình độc hại:
%appdata%\SystemProc\lsass.exe
Và để đảm bảo rằng chúng sẽ được tự kích hoạt mỗi khi hệ điều hành khởi động, các Trojan này tạo các khóa autorun sau trong registry:
[HKÑU\Software\Microsoft\Windows\CurrentVersion\Run]
"HP Software Updater v1.2"="%system%\HPWuSchdq.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"RTHDBPL"="%appdata%\SystemProc\lsass.exe"
Mặt khác, chúng tự “đăng ký” vào trong danh sách các ứng dụng an toàn của Windows firewall:
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\Auth orizedApplications\List]
"%system%\HPWuSchdq.exe"="%system%\HPWuSchdq.exe:*:Enabled:Explorer"
Và chúng còn tiếp tục tạo ra các khóa lưu trữ thông tin và dữ liệu:
[HKÑU\Identities]
"Curr version"
"Inst Date"
"Last Date"
"Send Inst"
"First Start"
"Popup count"
"Popup date"
"Popup time"
"KillSelf"
Phân tích về quá trình Payload
Khi cài đặt thành công, chúng sẽ gửi thông báo “infection successful” tới server C&C tại địa chỉ sau:
http://contr***.com/inst.php?aid=blackout
Yêu cầu thông tin địa chỉ IP của máy tính nạn nhân từ website sau để xác định vị trí:
http://whatis***.com/automation/n09230945.asp
Đồng thời, chúng “theo dõi” dấu vết của các trình duyệt sau:
Internet Explorer
Opera
Google Chrome
Mozilla Firefox
Nếu người dùng truy cập vào những trang web với header có chứa 1 hoặc nhiều từ khóa sau:
cialis pharma casino finance mortgage insurance gambling health
hotel travel antivirus antivir pocker poker video vocations design graphic
football footbal estate baseball books gifts money spyware credit loans dating
myspace virus verizon amazon iphone software mobile music craigslist sport
medical school wallpaper military weather twitter fashion spybot trading
tramadol flower cigarettes doctor flights airlines comcast
thì chúng sẽ lập tức ngăn chặn và chuyển hướng tất cả tới địa chỉ sau:
http://oxobla***.com/se.php?pop=1&aid=YmxhY2tvd
XQA9D8&sid=<rnd>&key=<keyword>
với <rnd> là số ngẫu nhiên, và <keyword> là 1 trong số các từ khóa liệt kê bên trên. Những đoạn mã độc này đồng thời theo dõi tất cả các yêu cầu tìm kiếm từ người dùng với những Search Engine sau:
google
yahoo
live
msn
bing
youtobe
Và dữ liệu tìm kiếm sẽ được gửi tới đường dẫn URL sau:
http://tetro***.com/request.php?aid=blackout&ver=25
Mặt khác, chúng thu thập tất cả các địa chỉ email được lưu trữ trong máy tính và gửi những những mẩu thư rác như sau tới họ:
Nếu để ý 1 chút, bạn sẽ thấy đường dẫn màu xanh “visit our verification page” là 1 mẩu tin nhắn giả mạo, sẽ đưa người dùng đến trang web lừa đảo có dạng http://barc***.ath.cx/LogIn.html được điều khiển trực tiếp bởi tin tặc. Khi đã truy cập vào trang web đó, hệ thống sẽ yêu cầu họ cung cấp thông tin tài khoản ngân hàng trực tuyến Barclays Bank. Đồng thời, chúng sẽ ngắt tất cả các hoạt động của những chương trình bảo mật và an ninh phổ biến như: Kaspersky Anti-Virus, Antivirus System Tray Tool, Avira Internet Security, AntiVir PersonalEdition Classic Service, Rising Process Communication Center …
Đồng thời, chúng sẽ tự xóa các thông tin về chúng từ các khóa autorun của registry:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Và tiếp tục ngăn chặn các yêu cầu truy cập của người dùng tới các trang cung cấp dịch vụ an ninh, bảo mật. Đồng thời xóa bỏ dịch vụ User Account Control trong Windows Vista và 7:
[HKLM\SOFTWARE\Microsoft\Security Center]
"UACDisableNotify"=dword:00000001
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"EnableLUA"=dword:00000000
Tiếp tục, chúng hủy những dịch vụ hệ thống sau:
ERSvc - Error Reporting Service
wscsvc - Windows Security Center Service
Bên cạnh đó, chúng âm thầm tải các bản vá từ những địa chỉ sau:
http://simfree***.com/update.php?sd=2010-04-27&aid=blackout
http://posit***.com/update.php?sd=2010-04-27&aid=blackout
http://rts***.com/update.php?sd=2010-04-27&aid=blackout
http://qul***.com/update.php?sd=2010-04-27&aid=blackout
Các phiên bản tiếp theo của chúng sẽ được tải về file C:\autoexec.exe và tự động kích hoạt. Sau đó file này sẽ tự động xóa bỏ.