"Pre-loaded"
PC malware leads to domain takeover
14 September 2012, 14:12
Bài được đưa lên
Internet ngày: 14/09/2012
Lời
người dịch: Bạn phải cẩn thận với các máy tính để
bàn và máy tính xách tay mà bạn mua có nguồn gốc từ
Trung Quốc. “Microsoft đã phát hiện rằng các máy tính
mới được các nhân viên của mình mua tại các thành phố
của Trung Quốc đã có các phần mềm độc hại được
cài đặt sẵn lên chúng. Vào tháng 08/2011, hãng này
đã bắt đầu một cuộc điều tra để xem liệu có bất
kỳ bằng chứng nào ủng hộ cho những phàn nàn rằng các
phần mềm giả mạo và các phần mềm độc hại đã được
đặt vào trong các máy tính cá nhân trong giây chuyền sản
xuất tại Trung Quốc và gửi cho các nhân viên để
mua 10 máy tính để bàn và 10 máy tính xách tay từ Siêu
thị PC (“PC Malls”) tại các thành phố khác nhau tại
Trung Quốc. 4 trong số các máy tính đã được tìm thấy
đã có các phần mềm độc hại trong chúng”. Một
trong những nguy cơ mất an ninh cho hệ thống thông tin là
dây chuyền cung ứng, cả phần cứng lẫn phần mềm.
Một Tòa án Quận ở
Mỹ đã trao cho Microsoft quyền đánh
sập các máy chủ chỉ huy và kiểm soát và các miền
của hơn 500 bẫy phần mềm độc hại. Tòa án Quận Đông
Virginia đã được Đơn vị chống Tội phạm Số của
Microsoft yêu cầu cho phép họ vô hiệu hóa các miền đó
như một phần của “Chiến dịch b70”, nó có các gốc
rễ của nó trong một nghiên cứu được Microsoft tại
Trung Quốc triển khai.
Microsoft đã phát hiện
rằng các máy tính mới được các nhân viên của mình
mua tại các thành phố của Trung Quốc đã có các phần
mềm độc hại được cài đặt sẵn lên chúng. Vào tháng
08/2011, hãng này đã bắt đầu một cuộc điều tra để
xem liệu có bất kỳ bằng chứng nào ủng hộ cho những
phàn nàn rằng các phần mềm giả mạo và các phần mềm
độc hại đã được đặt vào trong các máy tính cá nhân
trong giây chuyền sản xuất tại Trung Quốc và gửi cho
các nhân viên để mua 10 máy tính để bàn và 10 máy tính
xách tay từ Siêu thị PC (“PC Malls”) tại các thành phố
khác nhau tại Trung Quốc. 4 trong số các máy tính đã được
tìm thấy đã có các phần mềm độc hại trong chúng.
Cũng như việc có các
phần mềm độc hại lan truyền qua các thiết bị USB
trong chúng, một trong 4 máy tính đã đặc biệt lôi cuốn
các nhà nghiên cứu vì nó đã bị lây nhiễm với virus
Nitol. Nitol cài đặt một cửa hậu được sử dụng cho
việc đánh sopam hoặc các cuộc tấn công DDoS và botnet mà
đã được kết nối tới đã được đặt chỗ tại
3322.org. Micrsoft đã phát hiện rằng nhà cung cấp đặt
chỗ dường như đã quản lý 500 bẫy phần mềm độc hại
trong 70.000 miền con. Đây là phần mềm độc hại khác,
Microsoft nói, bao gồm kiểm soát các camera (đầu máy quay)
ở xa và xem các cửa hậu và các trình ghi bàn phím.
Dường như là
Microsoft đã không có bất kỳ thành công nào khi tiếp cận
hãng đặt chỗ và vì thế nó đã quyết định áp dụng
để chiếm quyền miền đó thông qua các tòa án và bây
giờ đã được trao quyền, thông qua một lệnh tạm thời,
để chiếm quyền kiểm soát miền 3322.org và khóa hoạt
động của botnet Nitol và các phần mềm độc hại khác.
Vì có những miền con hợp pháp của 3322.org, Microsoft đang
lọc sự truy cập với sự trợ giúp của Nominum, và cho
phép giao thông tới chúng trong khi khóa sự truy cập tới
các miền con độc hại.
A
US District Court has given Microsoft permission to take
down the command and control servers and domains of over 500
strains of malware. The Eastern District of Virginia was asked by
Microsoft's Digital Crimes Unit to allow them to disable these
domains as part of "Operation b70", which has its roots in
a study carried out by Microsoft in China.
Microsoft
has found that new computers purchased by its employees in Chinese
cities already had malware installed on them. In August 2011, the
company began an investigation to see if there was any evidence to
back up claims that counterfeit software and malware was being placed
onto PCs in the supply chain in China and sent employees to buy ten
desktop and ten laptop computers from "PC Malls" in various
cities in China. Four of the computers were found to already have
malware on them.
As
well as having malware which spread over USB flash drives on them,
one of the four machines in particular attracted the researchers'
attention because it was infected with the Nitol virus. Nitol
installs a backdoor used for spam or DDoS attacks and the botnet it
was connected to was hosted at 3322.org. Microsoft found that the
hosting provider appeared to host around 500 different strains of
malware on 70,000 sub-domains. This other malware, says Microsoft,
included remote camera control and viewing backdoors and key loggers.
It
appears that Microsoft didn't have any success approaching the
hosting company and so it decided to apply to take over the domain
through the courts and has now been given permission, through a
temporary restraining order, to take over control of the 3322.org
domain and block the operation of the Nitol botnet and the other
malware. As there are legitimate subdomains of 3322.org, Microsoft is
filtering access with the help of Nominum,
and allowing traffic to them through while blocking access to
malicious subdomains.
(djwm)
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.