Russian Web proxy chứa backdoor và phát tán malware

[techblog]

Công ty bảo mật Symantec vừa công bố chiến dịch của hacker nhằm thao túng người dùng internet trên thế giới khi họ dùng dịch vụ proxy có trả phí. Thông báo tiết lộ con số hàng trăm nghìn người đang sử dụng dịch vụ này có thể bị cài backdoor và phát tán malware khi tải về các chương trình hỗ trợ proxy, thực tế đó là backdoor có chức năng botnet.

Ba tháng trước, các nhà nghiên cứu của Symantec đã bắt đầu một cuộc điều tra nhằm vào một phần của phần mềm độc hại được gọi là Backdoor.Proxybox được biết đến từ năm 2010, chỉ mới phát triển mạnh gần đây.

Backdoor.Proxybox, là một malware, công cụ của các hacker mũ đen, quá trình điều tra cho chúng tôi những thông tin thú vị về phương pháp hoạt hoạt động và kích thước của tool botnet này, trong đó có chứa thông tin để xác định được tác giả phần mềm độc hại này.



Dịch vụ ProxyBox – cung cấp quyền truy cập vào toàn bộ danh sách của hàng ngàn proxy với chỉ $ 40 một tháng, rõ ràng là một mức giá quá rẻ so với các nhà cung cấp dịch vụ khác đã thu hút được nhiều người dùng.

Đây một chương trình Trojan với chức năng rootkit, biến máy tính thành một máy chủ proxy. Các thành phần rootkit sử dụng một kỹ thuật mới để ngăn chặn truy cập tới các tập tin của nó và gia tăng sự bền bỉ của các phần mềm độc hại trên hệ thống.

Tuy nhiên, khía cạnh thú vị nhất của cuộc tấn công này là làm thế nào các máy tính bị nhiễm bệnh bị điều khiển bởi những kẻ tấn công. Botnet là một trong những công cụ chính được sử dụng bởi tin tặc vì nó rất linh hoạt. Chúng có thể được sử dụng để gửi thư rác email, khởi động tấn công từ chối dịch vụ DDOS, vượt qua CAPTCHA trên các trang web, hoặc click gian lận và nhiều hoạt động khác.



Trong trường hợp này, hacker khai thác botnet dùng một dịch vụ proxy được gọi là Proxybox.name. Bởi vì họ có thể ẩn IP thực địa chỉ của người sử dụng (Internet Protocol), máy chủ proxy thường được sử dụng để trốn tránh các nỗ lực kiểm duyệt trực tuyến, bỏ qua hạn chế truy cập dựa trên khu vực địa lý, hoặc tham gia vào nhiều hoạt động bất hợp pháp.

Command-and-control trong vài tháng gần đây đã cho biết máy chủ điều khiển botnet này đang quản lý khao3ng 40.000 người dùng hoạt động trực tuyến tại bất kỳ thời điểm nào.

Cách xóa bỏ trojan Backdoor.Proxybox trong máy tính:

- Nhấn CTRL+ALT+DELETE để mở Windows Task Manager. Sau đó dừng tất cả processes.
- Click vào Processes tab, tìm Trojan Defiler G, chọn chuột phải vào và end process.
- Start – Run, gõ regedit để mở Registry và tìm xóa các khóa liên quan.
- Tìm và xóa các file liên quan.

Các khóa registry được công bố bao gồm:

%CommonAppData%\.random
%Temp%\random.tlb
%System%\drivers\random.sys
%System%\random.exe
%System%\random.dll
%Windows%\system32\[random].exe
C:\Users\[User Name] \AppData\Roaming\[random]
c:\Users\[User Name] \AppData\Local\Temp\[random]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_19AB4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_19AB4\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_74BA50F462E26657
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_74BA50F462E26657\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\7 4ba50f462e26657
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_19AB4\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_74BA50F462E26657
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_74BA50F462E26657\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\74ba50f462e26657

Hướng dẫn trên là cách hiệu quả nhất để gỡ bỏ Backdoor.Proxybox cho đến thời điểm hiện tại.
Nguồn: http://techblog.vn/hacker-virus-secu...-malware-1968/

[vanmanhnguyen]

thế này thì bá đạo quá