Trojan ẩn trong sự phục hồi của Windows

Trojan hides in Windows recovery

25.09.2009 12:32

Theo: http://www.heise.de/english/newsticker/news/145912

Bài được đưa lên Internet ngày: 25/09/2009

Lời người dịch: Lại một virus siêu hạng nữa cho các máy tính cá nhân Windows, gọi là Dogrobot thế hệ thứ 5. Chúng sẽ vẫn sống sót thậm chí sau khi máy tính bị lây nhiễm phục hồi lại Windows. Theo các chuyên gia, việc nó đang được tập trung vào việc ăn cắp các dữ liệu đăng nhập của những người chơi trò chơi trực tuyến tại Trung Quốc rồi bán các thông tin này, có thể gây thiệt hại tới 1.2 tỷ USD. Không rõ các cao thủ chơi game online của Việt Nam thì thế nào nhỉ? Có thể họ cũng đang có “lợi đơn, lợi kép” trong việc này chăng?

Theo một báo cáo của chuyên gia về virus của Microsoft là Chun Feng tại hội nghị về phần mềm độc hại Virus Bulletin tại Geneva, bọn tội phạm đang tiến hành việc gián điệp các dữ liệu đăng nhập trò chơi trực tuyến của người sử dụng tại các quản cà phê internet ở Trung Quốc và tiếp đó bán những thông tin này được cho là sẽ gây ra thiệt hại tới 1.2 tỷ USD. Bọn tội phạm sử dụng trojan Dogrobot, mà nó ẩn mình trong hệ thống và có thể còn sống sót được sau một sự phục hồi hệ thống Windows.

Theo Chun Feng, phần mềm độc hại này khai thác một cửa hậu trong sự phục hồi hệ thống Windows và một chỗ dễ bị tổn thương trong “Các thẻ phục hồi đĩa cứng” mà nó là một phần của nhiều máy tính cá nhân tại các quán cà phê internet ở Trung Quốc. Những thẻ này được thiết kế để được phục hồi lại sau một sự cố. Gstor-Plus của Excelstor chào một tính năng tương tự, nhưng cho tới nay tại châu Âu dạng hệ thống này còn không giành được nhiều sự chấp nhận.

Bây giờ nói sẽ là hiện thân lần thứ 5 của người máy chó (Dogrobot), mà nó sử dụnghàng loạt các kỹ thuật của bộ công cụ này, mà nó là đang được lưu thông. Trong khi biến thể đầu tiên đã chỉ gây tổn thương cho Lớp Quản lý Số lượng Windows, thì phiên bản mới nhất được cho là móc được vào Lớp Điều khiển Cổng IDE/ATAPI của Windows để ẩn nấp ở đó. Chun Feng đã không cung cấp bất kỳ chi tiết nào hơn nữa, và bài trình bày mới nhất của ông ta còn chưa sẵn sàng cho việc tải về. Chuyên gia này đã chỉ ra rằng Dogrobot có thể điều khiển các Thẻ Phục hồi Đĩa Cứng trong hội nghị Virus Bulletin năm 2008.

Dogrobot được phóng vào trong các máy tính cá nhân sử dụng các chỗ dễ bị tổn thương như các lỗ hổng của trình duyệt. Nó cũng sử dụng các cuộc tấn công đầu độc bộ nhớ đệm ARP để lái các máy tính cá nhân Windows khác vào một mạng cục bộ tới các trang web đặc biệt xảo quyệt và gây lây nhiễm cho chúng bằng cách này. Trojan này cũng lan truyền thông qua ổ USB.

According to a report by Microsoft virus specialist Chun Feng at the Virus Bulletin malware conference in Geneva, criminals spying out users' online gaming login data in Chinese internet cafes and subsequently selling this information are said to have caused 1.2 billion US dollars in damage. The criminals use the Dogrobot trojan, which hides in the system and can even survive a Windows system recovery.

According to Chun Feng, the malware exploits a back door in the Windows system recovery and a vulnerability in the "Hard Disk Recovery Cards" that are part of many PCs in Chinese internet cafes. The cards are designed to prevent hard disk write access to avoid problems such as virus infections, and allow a system to be recovered after a problem. Excelstor's GStor-Plus offers a similar feature, but so far in Europe this type of system has not gained much acceptance.

It is now said to be the fifth incarnation of Dogrobot, which uses various root kit techniques, that is in circulation. While the first variant only compromised the Windows Volume Management Layer, the latest version reportedly hooks into the Windows IDE/ATAPI Port Driver Layer to hide there. Chun Feng didn't provide any further details, and his latest presentation in not yet available to download. The specialist already pointed out that Dogrobot can handle Hard Disk Recovery Cards at the Virus Bulletin 2008 conference.

Dogrobot is injected into PCs using vulnerabilities such as browser holes. It also uses ARP cache poisoning attacks to redirect other Windows PCs in a local network to specially crafted web pages and infect them this way. The trojan also spreads via USB flash drives. (jk/c't)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com