Pimped out malware infects 90,000 Australian computers.
Phần mềm độc hại 'không thể bị phá hủy' lây nhiễm cho 4.5 triệu máy tính với hiệu ứng Stuxnet.
'Indestructable' malware infects 4.5m with Stuxnet efficiency
By Darren Pauli on Jul 1, 2011 9:55 AM (5 days ago)
Filed under Security
Theo: http://www.crn.com.au/News/262335,indestructable-malware-infects-45m-with-stuxnet-efficiency.aspx
Bài được đưa lên Internet ngày: 01/07/2011
Lời người dịch: Đây là những đặc tính của phần mềm độc hại được cho là tinh vi nhất năm 2011, đã lây nhiễm cho khoảng 4.5 triệu máy tính, trong đó có 90,000 máy tính tại Úc từ tháng 01 đến tháng 03/2011 và vẫn còn thực sự chưa thể bị phá hủy: “TDL-4 vớii một rootkit để vận hành các hệ thống 64 bit, công nghệ ngang hàng điểm điểm peer - to - peer, một “phần mềm chống virus” có sẵn bên trong, một khả năng lây nhiễm MBR (Master Boot Record) để chạy khi khởi động, và các khai thác được Stuxnet sử dụng.... “Những người viết đã mong muốn đảm bảo họ đã truy cập được vào các máy tính bị lây nhiễm thậm chí trong các trường hợp nơi mà các trung tâm kiểm soát botnet bị đánh sập. Những chủ sở hữu của TDL về cơ bản đang cố gắng tạo ra một botnet 'không thể bị phá hủy' , mà chúng được bảo vệ để chống lại các cuộc tấn công, các đối thủ cạnh tranh và các công ty chống virus.... TDSS và botnet hợp nhất tất cả các máy tính mà nó gây lây nhiễm sẽ tiếp tục gây ra các vấn đề cho những người sử dụng và các chuyên gia an ninh về CNTT”.
Phần mềm độc hại tinh vi phức tạp nhất thế giới trong năm nay đã lây nhiễm cho khoảng 4.5 triệu máy tính và vẫn còn thực sự chưa thể bị phá hủy, theo các nhà nghiên cứu an ninh tại Kaspersky.
Phần mềm độc hại TDSS, biến dạng lần thứ 4 của nó TDL-4 đã tăng gấp đôi, chữ ký giả, khó cho việc dò tìm ra bằng các phần mềm chống virus, đã sử dụng một rootkit phức tạp, và mã hóa giao tiếp truyền thông giữa các bots bị lây nhiễm và trung tâm kiểm soát và chỉ huy của nó.
Nó đã sống sót kể từ năm 2008 và đã từng áp dụng cho các môi trường mới.
Các nhà phát minh có trụ sở ở Nga của nó được tin tưởng đang nâng cấp TDL-4 vớii một rootkit để vận hành các hệ thống 64 bit, công nghệ ngang hàng điểm điểm peer - to - peer, một “phần mềm chống virus” có sẵn bên trong, một khả năng lây nhiễm MBR (Master Boot Record) để chạy khi khởi động, và các khai thác được Stuxnet sử dụng.
Phần mềm này đã lây nhiễm cho 90,000 máy tính tại Úc từ tháng 01 đến tháng 03, theo các kết quả từ các yêu cầu được gửi qua giao thức TDL-4.
Nhưng không có một máy tính nào ở Nga bị lây nhiễm cả. Eugene Kasspersky, nhà sáng lập công ty an ninh này đã nói trước đó rằng những người viết ra phần mềm độc hại này đã loại trừ các máy tính Nga khỏi bị lây nhiễm để tránh làm nảy sinh sự quan tâm từ cảnh sát địa phương.
“Những người viết đã mong muốn đảm bảo họ đã truy cập được vào các máy tính bị lây nhiễm thậm chí trong các trường hợp nơi mà các trung tâm kiểm soát botnet bị đánh sập. Những chủ sở hữu của TDL về cơ bản đang cố gắng tạo ra một botnet 'không thể bị phá hủy' , mà chúng được bảo vệ để chống lại các cuộc tấn công, các đối thủ cạnh tranh và các công ty chống virus”, các nhà nghiên cứu Sergey Golovanov và Igor Soumenkov của Kaspersky, nói.
The world’s most sophisticated malware has this year infected some 4.5 million machines and remains virtually indestructible, according to security researchers at Kasperky.
The TDSS malware, its forth incarnation dubbed TDL-4, dodged signature, heuristic, and proactive anti-virus detection, used a sophisticated rootkit, and encrypted communication between infected bots and its command and control centre.
| Infection rates |
Its Russian-based creators are believed to be upgrading TDL-4 with a rootkit to operate on 64-bit systems, peer-to-peer technology, an inbuilt “antivirus”, MBR infection capability to run at system boot, and exploits used by Stuxnet.
The malware had infected 90,000 computers in Australia between January and March, according to results from crafted requests sent over the TDL-4 protocol.
But not one machine in Russia was infected. Eugene Kaspersky, founder of the security company had said previously that malware writers excluded Russian computers from infection to avoid triggering interest from local police.
“Writers attempted to ensure they had access to infected computers even in cases where the botnet control centres are shut down. The owners of TDL are essentially trying to create an ‘indestructible’ botnet that is protected against attacks, competitors, and antivirus companies,” said Kaspersky researchers Sergey Golovanov and Igor Soumenkov.
“TDSS và botnet hợp nhất tất cả các máy tính mà nó gây lây nhiễm sẽ tiếp tục gây ra các vấn đề cho những người sử dụng và các chuyên gia an ninh về CNTT”.
Phiên bản mới nhất đã sử dụng một rootkit để khoác áo phần mềm độc hại như Pushdo spambot và các ứng dụng chống virus giả mạo, mà chúng được tải về máy tính của các nạn nhân.
Phần mềm độc hại chết người này không phải là một sự may mắn. TDL-4 có chứa một thành phần 'chống virus' có thể quét các đăng ký để phá hủy các phần mềm độc hại khác như Gbot, ZeuS và Clishmic, bao gồm cả các liên kết chỉ huy và kiểm soát từ xa của chúng, đe dọa thổi bay lớp vỏ bọc của nó.
Cùng với những lợi nhuận điển hình từ cài đặt phần mềm độc hại, những người làm chủ được TDL-4 đang đưa ra botnet mạnh 4.5 triệu máy của mình như một dịch vụ ủy quyền nặc danh giữa các máy chủ ủy quyền proxy server bên trong trình duyệt.
Phiên bản mới nhất cũng có chứa mã hóa được sửa lại. Nó đã hoán đổi thuật toán RC4 với mã nguồn được xây dựng tùy biến có sử dụng các hoán đổi XOR và một trình xác định các tham số đánh đối với giao tiếp truyền thông được mã hóa giữa các bot bị lây nhiễm và các máy chủ chỉ huy và kiểm soát.
Điều này “đảm bảo rằng botnet sẽ chạy trơn tru, trong khi việc bảo vệ cấc máy tính bị lây nhiễm từ phân tích giao thông mạng, và việc khóa các âm mưu của các tội phạm không gian mạng khác nhằm chiếm quyền kiểm soát của botnet đó”, các nhà nghiên cứu nói.
Các máy tính bị lây nhiễm nói chuyện qua một kênh riêng tư trong mạng điểm - điểm dạng Kad, mà nó giữ cho một nhúm các máy tính bị lây nhiễm trong một không gian công cộng như là sự thừa chống lại những mưu toan đánh vào botnet đó.
Các nhà nghiên cứu cũng nói phần mềm độc hại lan truyền thông qua một chương trình liên kết, một thực tế điển hình, có sử dụng một phần mềm máy trạm phân phối TDL, và thường tải lên phần mềm độc hại tới các website khiêu dâm và những kẻ khóa không gian mạng.
“TDSS and the botnet that unites all the computers it infects will continue to cause problems for users and IT security professionals alike.”
The latest version used a rootkit to cloak the malware like the Pushdo spambot and fake anti-virus apps, which it downloaded to victim machines.
Rival malware was not as lucky. TDL-4 contains an ‘antivirus’ component that would scan registries to destroy other malware like Gbot, ZeuS and Clishmic, including their remote command and control links, that threaten to blow its cover.
|
Sergey Golovanov |
They even developed a Firefox add-on that allowed users to toggle between proxy servers within the browser.
The latest version also contained revamped encryption. It had swapped the RC4 algorithm with custom built code that used XOR swaps and a bash parameter identifier to encrypted communication between infected bots and command and control servers.
This “ensures that the botnet will run smoothly, while protecting infected computers from network traffic analysis, and blocking attempts of other cyber criminals to take control of the botnet”, researchers said.
Infected machines talk over a private channel in the Kad peer-to-peer network, but it keeps a handful of infected machines in the public space as redundancy against attempts to hijack the botnet.
Researchers also said the malware spread through an affiliate program, a typical practice, using a TDL distribution client, and typically uploaded the malware to pornographic web sites and cyberlockers.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.