Không thấy đề cập. Giá mà biết được loại trojan này
được phát tán bằng con đường nào. Còn về cách diệt, chắc
trong thời gian ngắn nữa, các chương trình diệt Virus nổi
tiếng thế giới sẽ cập nhật cách diệt...
<h2>Tập tin và dịch vụ do trojan tạo ra</h2>
Khi chạy, trojan tạo ra các tập tin sau đây tại thư mục
%ProgramFiles%\Common Files\Windows Update Components:
<div class="special_quote">Name: UsrClass.ini
MD5: 0e03de130b68f3ba32e1f1f7f1177762 UsrClass.ini
Size: 116 bytes
Name: wuauclt.exe
MD5: 88fdb07154dd1203aef372273c38c986 wuauclt.exe
Size: 66,048
Name: wuauserv.dll
MD5: cdd57af8ba2b6c9de87e9dc894e6908a wuauserv.dll
Size: 589,824</div>
Trojan tạo ra một "system service" (dịch vụ chạy ngầm phía sau
của Windows) với thông số như sau:
<div class="special_quote">Tên service: "wuauservcom"
Tên hiển thị: "Windows Update Components"
Mô tả: "Enables the detection, download, and installation of updates for
Windows and other programs. If this service is disabled, users of this
computer will not be able to use Windows Update or its automatic updating
feature, and programs will not be able to use the Windows Update Agent (WUA)
API."
Image Path: "%Program Files%\Common Files\Windows Update
Components\wuauclt.exe" -delay</div>
Nói cách khác là nó giả dạng chương trình Windows Update.
<h2>Trojan làm gì?</h2>
Sau khi cài đặt, trojan sẽ đọc lệnh tại:
<div class="special_quote">javabin.dyndns.org/Windows/dat7.html
javasecurity.dyndns.info/Windows/dat7.html
dream.jz9u.com/Windows/dat7.html</div>
Lệnh được mã hóa, nếu giải mã ra sẽ là các chỉ thị
dạng XML, chỉ cho trojan phải tấn công trang web nào, với mã
HTTP như thế nào.
<h2>Phá mã CAPTCHA</h2>
Thường thì các trojan sử dụng server phía sau để phá mã, rồi
đưa thông tin xuống các máy bị nhiễm, chứ không dùng máy bị
nhiễm để phá CAPTCHA, vì kích thước trojan sẽ tăng lên. Nhưng
trojan Vecebot lại chứa chương trình phá mã CAPTCHA, tuy nhiên
chương trình này rất đơn giản, không có khả năng phá mã
CAPCHA mà một trang web nạn nhân của nó sử dụng:
<center><img src="http://danluan.org/files/u1/vecebot2.gif" width="600"
height="470" alt="vecebot2.gif" /></center>
Tuy nhiên, việc gửi cực nhiều yêu cầu CAPTCHA tới server nạn
nhân cũng khiến server này phải chịu tải lớn hơn.
<h2>Thống kê về mạng botnet</h2>
Trojan Vecebot thường xuyên gửi thống kê về cuộc tấn công
tới một nhóm server phụ:
<div class="special_quote">googleinstant.dyndns.tv
googleupdate.dyndns-work.com
gone.gigamonkeys.net</div>
Dữ liệu liên quan đến cuộc tấn công vào một trang web nạn
nhân của Vecebot cho thấy mạng botnet này có kích thước từ 10
đến 20 ngàn máy bị nhiễm độc. Phân bổ theo quốc gia cho
thấy phần lớn máy tính nhiễm độc nằm tại Việt Nam như
sau:
<center><img src="http://danluan.org/files/u1/vecebot1.gif" width="472"
height="353" alt="vecebot1.gif" /></center>
<h2>Mục đích của tin tặc</h2>
Danh sách các địa chỉ "nạn nhân" hiện thời, được liệt kê
trong tập tin lệnh, bao gồm:
<div class="special_quote">my.opera.com/Ao-Trang-Oi/blog/
vanganhnews.multiply.com/journal/item/{RND 500 550}
www.x-cafevn.org/verification/index_img.php
vnctcmd.wordpress.com/
www.boxitvn.net/bai/{RND 10000 11000}</div>
Tất cả những trang web này là các blog hoặc forum có nội dung
chỉ trích Đảng CSVN, hoặc thông tin về dự án khai thác Bauxite
có liên quan đến Trung Quốc. Đầu năm nay, một mạng botnet
tương tự, có tên là Vulcanbot, cũng nhắm vào các trang web nói
trên, đã bị phát hiện. Phân tích về Vulcanbot có thể đọc
được ở đây:
http://www.nartv.org/2010/04/05/vietnam-aurora/
Vecebot có thể là sự nối tiếp của Vulcanbot, và có thể cùng
một nhóm tin tặc đứng đằng sau. Mặc dù có những nghi ngờ
rằng vụ tấn công Vulcanbot có bàn tay chính quyền hoặc Đảng
CSVN đứng đằng sau, nhưng đến nay chưa có bằng chứng rõ
ràng để liên hệ bất kỳ ai trong chính quyền với vụ tấn
công.
Tuy nhiên, có một số bằng chứng cho thấy vụ tấn công này
được thực hiện bởi một nhóm tin tặc ủng hộ Đảng Cộng
sản. Một trong những đối tượng tấn công của cả Vulcanbot
và Vecebot là diễn đàn X-cafevn.org. Bên cạnh tấn công DoS,
server diễn đàn X-cafevn.org và máy tính của admin diễn đàn này
đã bị xâm nhập, thông tin về các admin và cơ sở dữ liệu
đã bị đăng trên mạng bởi nhóm tin tặc. Nhóm tin tặc tự
nhận:
<div class="special_quote">WHO ARE WE?
Chúng tôi là nhóm bạn trẻ Việt Nam ở nhiều nơi trên thế
giới, là những người đam mê công nghệ thông tin và bảo
mật. Có người là tiến sĩ, kỹ sư ở nước ngoài và có bạn
còn đang là sinh viên, du học sinh. Là những người luôn quan
tâm và mong muốn sự thay đổi của đất nước theo chiều
hướng tích cực. Chúng tôi cũng chẳng muốn chứng tỏ điều
gì, mà chỉ muốn có sự công bằng trên thế giới ảo.</div>
Họ cũng để lại địa chỉ email để nhận các bình luận về
cuộc tấn công: x.cafevn@ymail.com.
Có nhiều khả năng là đợt tấn công DoS hiện tại và vụ hack
trước đó là hoạt động của cùng một nhóm. Một mối liên
hệ chứng minh cho giả định trên là tên của các trang web phụ
trợ cho cuộc tấn công DoS và vụ hack là giống nhau. Admin diễn
đàn X-cafevn.org chỉ ra các tên miền phụ liên quan đến vụ
hack là:
<div class="special_quote">javalib.info
javastart.info </div>
Những tên này rất gần với hai tên miền chứa bộ phận
điều khiển Vecebot (<em>haha, các bác Sinh Tử Lệnh rất thích
Java</em>):
<div class="special_quote">javabin.dyndns.org
javasecurity.dyndns.info</div>
Bên cạnh đó, trang "jz9u.com" - nơi chứa lệnh điều khiển
Vecebot - sử dụng các DNS giống với trang "x-cafevn-db.info" của
tin tặc.
Một bằng chứng khác: Mặc dù mã Vecebot là mã Windows, nhưng nó
lại dùng rất nhiều hàm UNIX, thay vì Windows API. Có vẻ như
người viết Vecebot quen thuộc với Linux hơn là Windows. Hình
chụp màn hình vụ tấn công X-cafevn.org cũng dùng các chương
trình xử lý ảnh trên Linux hoặc FreeBSD.
Dù sao thì các mối liên hệ nói trên không đủ để kết luận
hai vụ này do cùng một nhóm thực hiện, cũng như không đủ
để xác định nhóm này hành động độc lập hay có sự chỉ
đạo của chính quyền hoặc Đảng CSVN. Logic chỉ ra rằng chính
quyền VN có thể ngăn chặn các trang này bằng một cách đơn
giản hơn, đó là dùng tường lửa tại cổng Internet ra quốc
tế, thay vì dùng đến mạng botnet để đánh DDoS. Tuy nhiên cũng
có khả năng họ làm vậy là để ngăn cản những thông tin
trong nước gửi ra tới người Việt hải ngoại hoặc các nhóm
khá nằm ngoài biên giới Việt Nam. [Chú thích của Dân Luận:
Điểm này nhóm SecureWorks suy đoán dựa trên hiểu biết không
đầy đủ của họ về Việt Nam. Hiện tại việc thiết lập
tường lửa ở Việt nam khá yếu và không chặt chẽ - so với
TQ. Bên cạnh đó, việc chặn các mạng xã hội như Facebook
khiến người dân đa số thành thạo cách... vượt tường lửa.
Do đó chính quyền thừa hiểu ngăn chặn bằng tường lửa là
không đủ, và phải cần đến những biện pháp mạnh hơn :D]
Thời điểm diễn ra cuộc tấn công mới cũng đáng chú ý. Vào
ngày 19/10/2010, blogger Điếu Cày kết thúc hạn 30 tháng tù giam
vì tội trốn thuế, mà đa phần những người bất đồng chính
kiến tin rằng đó chỉ là cớ để trừng phạt các hoạt
động xã hội - chính trị của blogger này. Một phong trào
được tuyên vào ngày 19/10/2010 để lấy ngày này làm "Ngày
blogger Việt Nam" bởi những người ủng hộ Điếu Cày. Tuy
nhiên, chính quyền VN đã không thả Điếu Cày vào đúng hạn,
mà tiếp tục cáo buộc blogger này tội mới "tuyên truyền
chống phá nhà nước XHCN".
<h2>Kết luận</h2>
Một giả thuyết khả dĩ là Vecebot được triển khai có chủ ý
trước ngày 19/10 để dập tắt những điều tiếng từ quyết
định tiếp tục giam Điếu Cày. Trong trường hợp này, nó cho
thấy có mối liên hệ giữa chủ nhân mạng botnet và thể chế
chính trị. Nghi ngờ này không thể chứng minh được qua việc
phân tích mã độc, và cũng có thể chỉ là trùng hợp. Tuy
nhiên, rõ ràng rằng mục tiêu của Vecebot là để bịt miệng
các chỉ trích hướng tới thể chế chính trị hiện tại ở
Việt Nam.
***********************************
Entry này được tự động gửi lên từ trang Dân Luận
(http://danluan.org/node/6855), một số đường liên kết và hình
ảnh có thể sai lệch. Mời độc giả ghé thăm Dân Luận để
xem bài viết hoàn chỉnh. Dân Luận có thể bị chặn tường
lửa ở Việt Nam, xin đọc hướng dẫn cách vượt tường lửa
tại đây (http://kom.aau.dk/~hcn/vuot_tuong_lua.htm) hoặc ở đây
(http://docs.google.com/fileview?id=0B_SKdt9lFNAxZGJhYThiZDEtNGI4NC00Njk3LTllN2EtNGI4MGZhYmRkYjIx&hl=en)
hoặc ở đây (http://danluan.org/node/244).
Dân Luận có các blog dự phòng trên WordPress
(http://danluan.wordpress.com) và Blogspot (http://danluanvn.blogspot.com),
mời độc giả truy cập trong trường hợp trang Danluan.org gặp
trục trặc... Xin liên lạc với banbientap(a-còng)danluan.org để
gửi bài viết cho Dân Luận!
Không có nhận xét nào:
Đăng nhận xét