Cảnh báo mã độc mới ẩn sau mỗi cú nhấp chuột
Các nhà nghiên cứu đến từ hãng bảo mật FireEye đã phát hiện ra một mối đe dọa mới sử dụng kĩ thuật giám sát các cú click chuột để xác định cách thức tương tác của người dùng trên máy tính nhiễm độc.
Có tên gọi Trojan.APT.BaneChant, phần mềm độc hại này được phân phối thông qua các tài liệu Word gửi qua email với tên là Islamic Jihad.doc. Theo nhà nghiên cứu Chong Rong Hwa của FireEye thì nhiều khả năng tài liệu này được sử dụng để nhắm mục tiêu vào các chính phủ ở khu vực Trung Đông và Trung Á.
Cuộc tấn công sẽ hoạt động trong nhiều giai đoạn. Hệ thống sẽ tải tài liệu độc hại, sau đó thực hiện một thành phần lệnh cố gắng xác định xem môi trường hoạt động của hệ thống là gì, chẳng hạn như ảo hóa hoặc một hệ thống phân tích phần mềm độc hại tự động, trước khi tiến hành giai đoạn tấn công thứ hai nếu xuất hiện hoạt động nhấp chuột.
Theo dõi nhấp chuột không phải là một kĩ thuật mới, nhưng phần mềm độc hại tương tự trong quá khứ thường chỉ kiểm tra một cú nhấp chuột duy nhất, trong khi phần mềm độc hại mới lại chờ ít nhất 3 cú nhấp chuột trước khi giải mã một URL và tải về một chương trình cửa hậu (backdoor) giả dạng một tập tin hình ảnh JPG.
Video đang HOT
Bên cạnh đó, phần mềm độc hại này cũng sử dụng phương pháp ẩn khác. Ví dụ, trong giai đoạn đầu tiên của cuộc tấn công, tài liệu độc hại sẽ tải các thành phần nhỏ giọt từ địa chỉ ow.li. Ow.li không phải là tên miền độc hại mà là một dịch vụ rút gọn URL. Lí do đằng sau việc này là để bỏ qua danh sách URL đen trên máy tính hoặc mạng lưới mục tiêu.
Tương tự như vậy, trong giai đoạn thứ 2 của cuộc tấn công, các tập tin JPG độc hại sẽ được tải về từ một URL đã tạo ra với hệ thống tên miền dịch vụ Dynamic Domain Name System (DNS) IP ẩn.
Sau khi được nạp bởi các thành phần đầu tiên, tập tin JPG sẽ tải xuống một bản sao của tập tin GoogleUpdate.exe vào trong thư mục C:ProgramDataGoogle2. Nó cũng tạo ra một liên kết đến các tập tin trong thư mục Startup của người dùng để đảm bảo nó tiếp tục chạy sau mỗi lần máy tính khởi động lại.
“Đây là một nỗ lực để lừa người dùng tin rằng các tập tin sinh ra là một phần của dịch vụ Google Update, một chương trình hợp pháp thường được cài đặt trong thư mục C:Program FilesGoogleUpdate”, ông Rong Hwa nói thêm.
Chương trình cửa hậu này sẽ tập hợp và cập nhật thông tin hệ thống về các máy chủ ra lệnh và kiểm soát. Nó cũng làm việc với một số lệnh, trong đó có lệnh tải về và thực hiện bổ sung các tập tin trên máy tính bị nhiễm bệnh.
Cũng theo ông Rong Hwa, các phần mềm độc hại đã sử dụng một số thủ thuật tiên tiến có thể trốn tránh sự phân tích từ các phần mềm bảo mật bằng cách cách phát hiện hành vi con người, không sử dụng các lệnh nhị phân bằng cách sử dụng lệnh mã hóa các tập tin thực thi, giả mạo như là một quá trình hợp pháp, thoát khỏi sự phân tích bằng cách sử dụng mã độc hại được nạp trực tiếp vào bộ nhớ và chặn danh sách tên miền tự động thông qua cách thức sử dụng chuyển hướng từ các địa chỉ URL rút gọn và các dịch vụ DNS động.
Theo NLĐ/PCWorld
Phần mềm độc hại vượt quá 75 triệu mẫu trong mỗi năm
Mặc dù McAfee đã dự đoán rằng các mẫu phần mềm độc hại duy nhất sẽ đạt 75 triệu vào năm 2011, tuy nhiên các nhà cung cấp bảo mật thực sự nhận thấy rằng con số thực tế thực sự vượt qua những ước tính này.
Báo cáo mới nhất từ nhà cung cấp về an ninh và các mối đe dọa McAfee trong quý 4/2011 cho thấy rằng, trong khi phần mềm độc hại trên máy tính mới có diễn biến chậm lại thì phần mềm độc hại trên điện thoại di động đã tăng lên, và đây cũng là khoảng thời gian phát triển mạnh mẽ nhất của chúng cho đến nay.
Những tin tức mới nhất trong báo chỉ ra rằng, phần mềm độc hại dựa trên PC được cho là đã giảm đi nhiều trong suốt quý 4/2011, đạt mức độ mà trong thực tế thấp hơn đáng kể so với quý 4/2010, tuy nhiên thực tế chỉ ra rằng, các mẫu phần mềm độc hại đã vượt quá 75 triệu.
McAfee phát hiện ra rằng, quý 4/2011 là giai đoạn mạnh mẽ nhất cho phần mềm độc hại di động phát triển mà nạn nhân chính là nền tảng Android với nhiều lỗ hổng bảo mật được các tin tặc phát hiện ra.
Trung bình có 9.300 trang web độc hại mới xuất hiện mỗi ngày trong quý 4, tăng từ 6.500 so với quý trước đó. Phần lớn có nguồn gốc từ Mỹ (73%), tiếp theo là châu Âu-Trung Đông (hơn 17%) và châu Á-Thái Bình Dương (7%) khu vực. Tăng trưởng của các mạng botnet cũng được cho là tăng trở lại trong tháng 10 và tháng 12, với tệ nạn "spearphishing" và thư rác tinh vi hơn bao giờ hết.
Theo ICTnew
Dính virus vì thích xem trộm 'n.ội y' phụ nữ Đ.ánh trúng tâm lý tò mò của người dùng, một ứng dụng độc có tên Android.Uracto tuyên bố có thể sử dụng tia hồng ngoại để "nhìn xuyên thấu" quần áo của người khác bằng camera của chính điện thoại hay máy tính bảng. Theo cảnh báo của Symantec, Android.Uracto chuyên gửi đi tin nhắn rác tới các số điện thoại lưu trong...
