Trojan lan truyền thông qua lỗ hổng mới của Windows

Trojan spreads via new Windows hole

15 July 2010, 16:28

Theo: http://www.h-online.com/security/news/item/Trojan-spreads-via-new-Windows-hole-1038992.html

Bài được đưa lên Internet ngày: 15/07/2010

Lời người dịch: Trojan mới đánh vào lỗ hổng chưa từng biết của Windows mà không cần có sự tương tác với người sử dụng.

Các chuyên gia chống virus nói rằng một trojan mới đang lan truyền thông qua các ổ USB, hình như khai thác một lỗ hổng còn chưa được biết trong Windows. Theo các phân tích của nhà cung cấp phần mềm diệt virus của Belarusia VirusBlokAda, một bản sao của trojan này lây nhiễm hoàn toàn cho hệ điều hành Windows 7 được vá mà không phải phân loại lại đối với các công cụ tự động khởi động thông thường như là autorun.inf khi một ổ USB mang theo trojan này được cắm vào. Thay vì việc lan truyền thông qua auto-start, phần mềm độc hại sẽ khai thác một lỗ hổng trong mã đối với việc xử lý các tệp .lnk: Một khi biểu tượng phù hợp được hiển thị trong Windows Explorer, thì mã độc được tải lên mà không cần bất kỳ sự tương tác nào với người sử dụng.

Trojan khai thác điều này để cài đặt 2 trình điều khiển với các chức năng rootkit được thiết kế để ẩn dấu đi những hoạt động tiếp sau của nó bên trong hệ thống. Thật thú vị, cả 2 trình điều khiển này sẽ được ký với một khóa ký mã bởi nhà cung cấp RealTek và có thể, vì thế, được cài đặt trên một hệ thống mà không có việc bật lên một cảnh báo. Chỉ mới gần đây, nhà cung cấp phần mềm chống virus F-Secure đã chỉ ra rằng số lượng các phần mềm độc hại được ký đối với Windows đang gia tăng. Trong một số trường hợp, các khóa số còn bị ăn cắp từ các lập trình viên.

Một cuộc điều tra của nhà phân tích phần mềm độc hại Frank Boldewin đã chỉ ra rằng không chỉ bất kỳ trojan cũ nào cũng được thiết kế để thu thập các mật khẩu từ những người sử dụng không có nghi ngờ. Dường như là các phần mềm độc hại tập trung đặc biệt vào các hệ thống kiểm soát tiến trình và các thành phần ảo hóa của chúng. Vì thế trojan này hình như sẽ lan truyền trên một phạm vi rộng lớn.

Trong quá trình điều tra, Boldewin đi qua một số câu truy vấn cơ sở dữ liệu mà trojan này đã làm mà nó chỉ tới hệ thống WinCC SCADA của Siemens. Như Boldewin đã giải thích trong một thư điện tử cho site H về an ninh, một lập trình viên phần mềm độc hại “thông thường” có thể đã thực hiện điều đó. Boldewin tiếp tục: “Vì hệ thống SCADA của Siemens được sử dụng bởi nhiều chính phủ và các doanh nghiệp khắp thế giới, nên chúng ta phải giả thiết rằng dự kiến của những kẻ tấn công là gián điệp công nghiệp hoặc ngay cả là gián điệp trong khu vực chính phủ”. Frank Boldewin là tác giả của bài viết nổi tiếng “Câu chuyện 2: Hình ảnh của cái chết” trong loạt bài “CSI: Internet” của chúng tôi.

Microsoft đã được thông báo về sự tổn thương này, nhưng dường như có những vấn đề với việc tái tạo lại nó. Andreas Marx của AV-Test nói rằng mỗi tệp .Ink được liên kết tới ID của ổ USB bị lây nhiễm. Điều này có nghĩa là các trojan ví dụ được tìm thấy cho tới nay không thể đơn giản được khởi tạo trên một hệ thống Windows tùy ý - phần mềm độc hại này sẽ chỉ khởi động trong trình dò tìm lỗi OllyDbg sau một số sửa đổi mã nguồn.

Anti-virus specialists report that a new trojan is spreading via USB flash drives, apparently exploiting a previously unknown hole in Windows. According to analyses by Belarusian AV vendor VirusBlokAda, a copy of the trojan managed to infect a fully patched Windows 7 system (32-bit) without having to resort to such common auto-start tools as autorun.inf when a Flash drive carrying the trojan was plugged in. Instead of spreading through auto-start, the malware exploits a flaw in the code for processing short-cuts (.lnk files): Once the relevant icon is displayed in Windows Explorer, malicious code is launched without any further user interaction.

The trojan exploits this to install two drivers with rootkit functions designed to hide its subsequent activities within the system. Interestingly, both drivers are signed with a code-signing key by vendor RealTek and can, therefore, be installed on a system without triggering an alert. Only recently, AV vendor F-Secure pointed out that the amount of signed malware for Windows is increasing. In some cases, digital keys have even been stolen from developers.

An investigation by malware analyst Frank Boldewin has shown that this is not just any old trojan designed to harvest passwords from unsuspecting users. It appears that the malware specifically targets process control systems and their visualisation components. The trojan is, therefore, unlikely to spread on a large scale.

During his investigation, Boldewin came across some database queries the trojan made that point towards the WinCC SCADA system by Siemens. As Boldewin explained in an email to The H's associates at heise Security, a "normal" malware programmer wouldn't have managed to do that. Boldewin continued "As this Siemens SCADA system is used by many governments and industrial enterprises worldwide, we must assume that the attackers' intention was industrial espionage or even espionage in the government area". Frank Boldewin is the author of the feature article "Episode 2: The image of death" in our "CSI:Internet" series.

Microsoft has been informed about the vulnerability, but appears to have problems with reproducing it. Andreas Marx of AV-Test says that every .lnk file is linked to the ID of the newly infected USB Flash drive. This means that the sample trojans found so far can't simply be started on an arbitrary Windows system – the malware will only start in the OllyDbg debugger after some modifications to the code.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com