Diễn đàn tin học khóa 6
Chào mừng các bạn đã ghé thăm diễn đàn khoa6.forumotion.net !
Mời các bạn đăng ký thành viên !
Tìm kiếm
 
 

Display results as :
 


Rechercher Advanced Search

Latest topics
Hỗ trợ online
Mr.Tuansiteen

Click here to chat

Mr.Thanh Vũ

Click here to chat

Mr.Mạnh Tuyển

Click here to chat
Liên kết học tập
Học anh văn trực tuyến


Sâu máy tính “chỉ huy” người dùng bình thường phát tán thư rác

Go down

Sâu máy tính “chỉ huy” người dùng bình thường phát tán thư rác

Bài gửi by Mr_Thanh on Tue May 05, 2009 10:57 am

Sâu máy tính mang tên Trojan.Neprodoor được thiết kế tinh vi để qua mặt các hệ thống xác thực, tự động đăng ký tài khoản của các dịch vụ mail: hotmail, yahoo, gmail…và phát tán thư rác trong đó không loại trừ việc tin tặc chèn thêm mã độc, Hãng bảo mật CMC Infosec cảnh báo hôm 23.4.

Trojan.Neprodoor được phát hiện đầu tiên vào ngày 2/3/2009. Trojan này hoạt động như một mạng botnet. Chúng sử dụng những máy nạn nhân để phát tán thư rác, đồng thời kết hợp kỹ thuật rootkit (tàng hình) nên có khả năng qua mặt hầu hết các sản phẩm bảo mật hiện tại.
Cách thức Trojan.Neprodoor lây nhiễm là thông qua hệ thống mạng Internet , chúng lây nhiễm vào file hệ thống ndis.sys và tiêm mã độc vào file svchost.exe để thực hiện quá trình phát tán thư rác. Sau khi lây nhiễm thành công chúng sẽ giao tiếp với máy chủ và thực hiện bất cứ hành động nào mà máy chủ yêu cầu như: cung cấp thông tin bí mật của máy nạn nhân, tải mã nhị phân và thực hiện lệnh tấn công từ xa.



Neprodoor được xây dựng với kỹ thuật tinh vi. Thông thường khi đăng ký một tài khoản email, người dùng cần tên tài khoản, mật khẩu và mã xác thực CAPTCHA (là một hệ thống được dùng tại các trang đăng ký, nó hiện ra các file ảnh chứa thông tin để từ đó xác nhận là người dùng đang thao tác chứ không phải là các bot máy tính đang đăng ký tự động). Nhưng với sâu Neprodoor thì các tài khoản mail từ Google, Yahoo hay Hotmail có thể bị đăng ký tự động vì Neprodoor có thể vô hiệu hệ thống captcha bằng cách kết nối tới 1 hệ thống máy chủ thực hiện công việc này (do các hacker Nga nắm giữ). Do đó những thư rác được gửi đi từ những tài khoản này sẽ nghiễm nhiên không bị các hệ thống mail coi là thư rác..

Ông Nguyễn Hoàng Giang - Chuyên gia phân tích virus của CMC InfoSec nhận định “Đây là một loại Trojan nguy hiểm, các biến thể mới luôn được cập nhật từ hệ thống điều khiển máy chủ của kẻ tấn công. Máy nhiễm bệnh sẽ trở thành một máy zombie trong hệ thống botnet của chúng”

Khi nhiễm Trojan.Neprodoor người dùng có thể thấy được sự thay đổi trong hoạt động của hệ thống như ngốn bộ nhớ, đường truyền băng thông bị ảnh hưởng, xuất hiện các tiến trình svchost.exe, reader_s.exe tự tạo ra, biểu tượng kết nối mạng luôn sáng mặc dù người dùng không sử dụng các chương trình liên quan tới Internet.

Hầu hết các hệ điều hành đều có khả năng bị nhiễm Trojan này: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP.

Đối tượng mà giới tội phạm hướng tới không chỉ là các doanh nghiệp mà ngay cả người dùng cá nhân cũng trở thành đích ngắm. Hiện nay chưa có một con số thống kê cụ thể nào về lượng máy tính bị nhiễm Neprodoor vì thực tế Trojan này hoạt động rất âm thầm, nó không bùng phát tại một thời điểm cụ thể và đây mới chỉ là bước dạo đầu cho một chiến dịch spam trong thời gian sắp tới.
CMC InfoSec khuyến cáo người dùng nên tránh vào những trang web nhạy cảm hay những trang web lạ và luôn đảm bảo chương trình Antivirus được cập nhật thường xuyên để “phòng bệnh hơn chữa bệnh”…

Người dùng có thể thực hiện loại bỏ Trojan này bằng tay như sau:
1. Ngắt kết nối mạng
2. Vô hiệu hóa System Restore
3. Sử dụng phần mềm Process Explorer của Microsoft kill các process: reader_s.exe và những process có tên svchost.exe có trong nhánh explorer.exe.
4. Vào Registry, tìm tới khóa:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Xóa key reader_s có chứa nội dung C:\ WINDOWS \system32\reader_s.exe
5. Vào C:\ WINDOWS \system32 -> xóa file reader_s.exe
6. Do bị nhiễm trong file hệ thống ndis.sys nên cần phải dùng đĩa cài windows để restore lại file ndis.sys gốc trong C:\WINDOWS\system32\drivers
7. Để đảm bảo chắc chắn rằng mối nguy hiểm đã hoàn toàn được loại bỏ, hãy thực hiện quét toàn bộ máy tính với phần mềm antispam, antivirus được cập nhật phiên bản mới nhất.
avatar
Mr_Thanh

Nam Tổng số bài gửi : 58
Join date : 27/04/2009
Age : 31
Đến từ : HCMC

Xem lý lịch thành viên

Về Đầu Trang Go down

Re: Sâu máy tính “chỉ huy” người dùng bình thường phát tán thư rác

Bài gửi by tuansiteen on Tue May 05, 2009 5:20 pm

ko hieu cách thức hoat dong cua nonhu thế nào Question
avatar
tuansiteen
Admin

Nam Tổng số bài gửi : 38
Join date : 10/04/2009

Xem lý lịch thành viên http://khoa6.forumotion.com

Về Đầu Trang Go down

Re: Sâu máy tính “chỉ huy” người dùng bình thường phát tán thư rác

Bài gửi by Mr_Thanh on Wed May 06, 2009 9:38 am

Trojan này hoạt động như một mạng botnet. Chúng sử dụng những máy nạn nhân để phát tán thư rác, đồng thời kết hợp kỹ thuật rootkit (tàng hình) nên có khả năng qua mặt hầu hết các sản phẩm bảo mật hiện tại.
Cách thức Trojan.Neprodoor lây nhiễm là thông qua hệ thống mạng Internet , chúng lây nhiễm vào file hệ thống ndis.sys và tiêm mã độc vào file svchost.exe để thực hiện quá trình phát tán thư rác. Sau khi lây nhiễm thành công chúng sẽ giao tiếp với máy chủ và thực hiện bất cứ hành động nào mà máy chủ yêu cầu như: cung cấp thông tin bí mật của máy nạn nhân, tải mã nhị phân và thực hiện lệnh tấn công từ xa.
avatar
Mr_Thanh

Nam Tổng số bài gửi : 58
Join date : 27/04/2009
Age : 31
Đến từ : HCMC

Xem lý lịch thành viên

Về Đầu Trang Go down

Re: Sâu máy tính “chỉ huy” người dùng bình thường phát tán thư rác

Bài gửi by Mr_Thanh on Wed May 06, 2009 9:49 am

Làm ơn đọc kỹ dùm đi pa.có vậy mà cũng ko hiểu.
con Trojan này có thể ăn cắp thông tin các account Email ma chúng ta logon.
sau đó gửi về máy của thằng hacker nào đó(bên Nga).tụi nó sẽ lợi dụng những account này để sparm mail mà không bị chặn lại.
Ngoài ra Khi nhiễm Trojan.Neprodoor người dùng có thể thấy được sự thay đổi trong hoạt động của hệ thống như ngốn bộ nhớ, đường truyền băng thông bị ảnh hưởng, xuất hiện các tiến trình svchost.exe, reader_s.exe tự tạo ra, biểu tượng kết nối mạng luôn sáng mặc dù người dùng không sử dụng các chương trình liên quan tới Internet.
avatar
Mr_Thanh

Nam Tổng số bài gửi : 58
Join date : 27/04/2009
Age : 31
Đến từ : HCMC

Xem lý lịch thành viên

Về Đầu Trang Go down

Re: Sâu máy tính “chỉ huy” người dùng bình thường phát tán thư rác

Bài gửi by Mr_Thanh on Wed May 06, 2009 9:52 am

Tui từng bị nhiễm con này rui.nguy hiểm lắm.máy tui Ram 2gb ma chạy ì ạch.mở work,excel 15 phút mới lên.bộ nhớ Ram luôn bị chi6m1 rất nhiều(dù ko chạy chương trình nào nặng cả)
avatar
Mr_Thanh

Nam Tổng số bài gửi : 58
Join date : 27/04/2009
Age : 31
Đến từ : HCMC

Xem lý lịch thành viên

Về Đầu Trang Go down

Re: Sâu máy tính “chỉ huy” người dùng bình thường phát tán thư rác

Bài gửi by Sponsored content


Sponsored content


Về Đầu Trang Go down

Về Đầu Trang


 
Permissions in this forum:
Bạn không có quyền trả lời bài viết