“Bom máy in” lan truyền có sử dụng các tệp .htaccess bị tổn thương

"Printer Bomb" spread using compromised .htaccess files

5 July 2012, 13:19

Theo: http://www.h-online.com/security/news/item/Printer-Bomb-spread-using-compromised-htaccess-files-1632779.html

Bài được đưa lên Internet ngày: 05/07/2012

 

Ảnh của Symantec về sự tái định tuyến .htaccess. Nguồn: Symantec

Symantec's diagram of .htaccess redirection
Source: Symantec

Lời người dịch: Xuất hiện loại trojan mới gọi là “Bom máy in” một khi làm tổn thương các máy tính thì sẽ lệnh cho các máy in để in liên tục các ký tự rác cho tới khi hết giấy. Xem thêm: Cập nhật phần dẻo làm giảm nhẹ các vấn đề an ninh máy in LaserJet của HP.

Các tệp .htaccess bị tổn thương trong các máy chủ web đã cho phép trojan “Bom máy in” lan truyền, một nhà nghiên cứu của Symantec nói. Trojan “Bom máy in”, Symantec đặt tên là Trojan.Milicenso, từng đáng lưu ý vì việc tạo ra các công việc in ấn khổng lồ của các ký tự rác làm cho các máy in sử dụng hết giấy. Những điều tra ban đầu của công ty an ninh đã phát hiện phần mềm độc hại đưa ra mẫu chung lan truyền hoặc qua các tệp gắn kèm thư điện tử độc hại hoặc qua các website đặt chỗ cho các scripts độc hại, và được thiết kế cho việc phân phối các tải công việc khác nhau.

Nhưng sự điều tra tiếp đã phát hiện rằng phần mềm độc hại sử dụng các tệp .htaccess được sửa đổi trên các website bị tổn thương âm thầm gửi cho những người sử dụng để tải về phần mềm độc hại Milicenso. Các tệp .htaccess được sử dụng trên các máy chủ web để giúp kiểm soát truy cập tới các thư mục và các nội dung của chúng trên cơ sở từng thư mục một. Chúng cũng có khả năng viết lại các URL và tái định tuyến các trình duyệt và chính khả năng này mà các tác giả của phần mềm độc hại đã và đang sử dụng. Bằng việc tải lên tệp .htaccess của riêng chúng lên các máy chủ, những người viếng thăm máy chủ bị tổn thương có thể âm thầm được gửi tới site tác giả của phần mềm độc hại, nơi mà các trojan có thể được tải về và được cài đặt.

Theo Symantec, sự tái định tuyến được kiểm soát cẩn thận bằng tệp .htaccess. Các qui định tới khoảng 1600 dòng trắng ở đỉnh và đáy của tệp để tránh bị tóm bởi người đọc một cách ngẫu nhiên.

Compromised .htaccess files on web servers allowed the "Printer Bomb" trojan to spread, says a Symantec researcher. The "Printer Bomb" trojan, named Trojan.Milicenso by Symantec, was notable for creating massive print jobs full of garbage characters that made printers run out of paper. The security company's initial investigations revealed malware exhibiting the common pattern of spreading either through malicious email attachments or through web sites hosting malicious scripts, and designed for delivering different payloads.

But further investigation has revealed that the malware uses modified .htaccess files on compromised web sites to silently send users to download the Milicenso malware. .htaccess files are used on web servers to help control access to directories and their contents on a per directory basis. They are also capable of rewriting URLs and redirecting browsers and it is this capability that the malware authors have been making use of. By uploading their own .htaccess file to servers, visitors to the compromised server can be silently sent to the malware author's site where trojans can be downloaded and installed.

According to Symantec, the redirection is carefully controlled by the .htaccess file. The rules come between 1600 blank lines at the top and bottom of the file to avoid being spotted by a casual reader.

Các qui định nói rằng những người sử dụng sẽ chỉ bị tái định tuyến nếu đây là cuộc viếng thăm đầu tiên tới site, rằng mối liên kết mà dẫn tới site nằm trong các kết quả của máy tìm kiếm hoặc thư điện tử (nên các URL được đánh dấu hoặc được dán sẽ không làm việc), và rằng nạn nhân đang chạy một trình duyệt web phổ biến trong Windows (nên các máy tìm kiếm không nhặt ra được sự thay đổi).

Symantec tin tưởng băng đảng có trách nhiệm đã và đang sử dụng sự tái định tuyến của .htaccess kể từ năm 2010 và, năm nay, đã và đang thay đổi miền .htaccess được sửa đổi gửi đi cho những người sử dụng trên cơ sở hàng ngày. Cho tới nay, 4.000 website khác nhau đã và đang được xác định tái định tuyến cho những người sử dụng tới các site độc hại, dù hầu hết trong số họ là các site cá nhân hoặc các hoặc của doanh nghiệp nhỏ, một số của chính phủ, các dịch vụ viễn thông và tài chính cũng được nói bị tổn thương.

The rules say that users will only be redirected if it's their first visit to the site, that the link that led to the site was in search engine results or email (so bookmarked or pasted URLs won't work), and that the victim is running a popular web browser on Windows (so search engines don't pick up on the change).

Symantec believes the gang responsible has been using .htaccess redirection since at least 2010 and has, this year, been changing the domain the modified .htaccess sends users to on a daily basis. So far, 4000 different web sites have been identified redirecting users to the malicious sites, though most of them are personal or small business sites, a number of government, telecoms and financial services sites are also said to be compromised.

(djwm)

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com