Thứ Ba, 18 tháng 9, 2012

Phần mềm độc hại “được tải trước” cho PC dẫn tới việc chiếm quyền điều khiển


"Pre-loaded" PC malware leads to domain takeover
14 September 2012, 14:12
Bài được đưa lên Internet ngày: 14/09/2012
Lời người dịch: Bạn phải cẩn thận với các máy tính để bàn và máy tính xách tay mà bạn mua có nguồn gốc từ Trung Quốc. “Microsoft đã phát hiện rằng các máy tính mới được các nhân viên của mình mua tại các thành phố của Trung Quốc đã có các phần mềm độc hại được cài đặt sẵn lên chúng. Vào tháng 08/2011, hãng này đã bắt đầu một cuộc điều tra để xem liệu có bất kỳ bằng chứng nào ủng hộ cho những phàn nàn rằng các phần mềm giả mạo và các phần mềm độc hại đã được đặt vào trong các máy tính cá nhân trong giây chuyền sản xuất tại Trung Quốc và gửi cho các nhân viên để mua 10 máy tính để bàn và 10 máy tính xách tay từ Siêu thị PC (“PC Malls”) tại các thành phố khác nhau tại Trung Quốc. 4 trong số các máy tính đã được tìm thấy đã có các phần mềm độc hại trong chúng”. Một trong những nguy cơ mất an ninh cho hệ thống thông tin là dây chuyền cung ứng, cả phần cứng lẫn phần mềm.
Một Tòa án Quận ở Mỹ đã trao cho Microsoft quyền đánh sập các máy chủ chỉ huy và kiểm soát và các miền của hơn 500 bẫy phần mềm độc hại. Tòa án Quận Đông Virginia đã được Đơn vị chống Tội phạm Số của Microsoft yêu cầu cho phép họ vô hiệu hóa các miền đó như một phần của “Chiến dịch b70”, nó có các gốc rễ của nó trong một nghiên cứu được Microsoft tại Trung Quốc triển khai.
Microsoft đã phát hiện rằng các máy tính mới được các nhân viên của mình mua tại các thành phố của Trung Quốc đã có các phần mềm độc hại được cài đặt sẵn lên chúng. Vào tháng 08/2011, hãng này đã bắt đầu một cuộc điều tra để xem liệu có bất kỳ bằng chứng nào ủng hộ cho những phàn nàn rằng các phần mềm giả mạo và các phần mềm độc hại đã được đặt vào trong các máy tính cá nhân trong giây chuyền sản xuất tại Trung Quốc và gửi cho các nhân viên để mua 10 máy tính để bàn và 10 máy tính xách tay từ Siêu thị PC (“PC Malls”) tại các thành phố khác nhau tại Trung Quốc. 4 trong số các máy tính đã được tìm thấy đã có các phần mềm độc hại trong chúng.
Cũng như việc có các phần mềm độc hại lan truyền qua các thiết bị USB trong chúng, một trong 4 máy tính đã đặc biệt lôi cuốn các nhà nghiên cứu vì nó đã bị lây nhiễm với virus Nitol. Nitol cài đặt một cửa hậu được sử dụng cho việc đánh sopam hoặc các cuộc tấn công DDoS và botnet mà đã được kết nối tới đã được đặt chỗ tại 3322.org. Micrsoft đã phát hiện rằng nhà cung cấp đặt chỗ dường như đã quản lý 500 bẫy phần mềm độc hại trong 70.000 miền con. Đây là phần mềm độc hại khác, Microsoft nói, bao gồm kiểm soát các camera (đầu máy quay) ở xa và xem các cửa hậu và các trình ghi bàn phím.
Dường như là Microsoft đã không có bất kỳ thành công nào khi tiếp cận hãng đặt chỗ và vì thế nó đã quyết định áp dụng để chiếm quyền miền đó thông qua các tòa án và bây giờ đã được trao quyền, thông qua một lệnh tạm thời, để chiếm quyền kiểm soát miền 3322.org và khóa hoạt động của botnet Nitol và các phần mềm độc hại khác. Vì có những miền con hợp pháp của 3322.org, Microsoft đang lọc sự truy cập với sự trợ giúp của Nominum, và cho phép giao thông tới chúng trong khi khóa sự truy cập tới các miền con độc hại.
A US District Court has given Microsoft permission to take down the command and control servers and domains of over 500 strains of malware. The Eastern District of Virginia was asked by Microsoft's Digital Crimes Unit to allow them to disable these domains as part of "Operation b70", which has its roots in a study carried out by Microsoft in China.
Microsoft has found that new computers purchased by its employees in Chinese cities already had malware installed on them. In August 2011, the company began an investigation to see if there was any evidence to back up claims that counterfeit software and malware was being placed onto PCs in the supply chain in China and sent employees to buy ten desktop and ten laptop computers from "PC Malls" in various cities in China. Four of the computers were found to already have malware on them.
As well as having malware which spread over USB flash drives on them, one of the four machines in particular attracted the researchers' attention because it was infected with the Nitol virus. Nitol installs a backdoor used for spam or DDoS attacks and the botnet it was connected to was hosted at 3322.org. Microsoft found that the hosting provider appeared to host around 500 different strains of malware on 70,000 sub-domains. This other malware, says Microsoft, included remote camera control and viewing backdoors and key loggers.
It appears that Microsoft didn't have any success approaching the hosting company and so it decided to apply to take over the domain through the courts and has now been given permission, through a temporary restraining order, to take over control of the 3322.org domain and block the operation of the Nitol botnet and the other malware. As there are legitimate subdomains of 3322.org, Microsoft is filtering access with the help of Nominum, and allowing traffic to them through while blocking access to malicious subdomains.
(djwm)
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.