Trojan giả mạo cảnh báo bảo mật của Microsoft

Chia sẻ: Bi Bo | Ngày: | Loại File: PDF | Số trang:3

Thêm vào BST

Báo xấu

51
lượt xem 5
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Những email thường mang tựa đề "Cumulative Security Update for Internet Explorer" giả mạo cung cấp bản vá lỗi nguy hiểm cho trình duyệt Internet Explorer. Có đường liên kết cụ thể cho phép người dùng tải về bản vá. Nếu người dùng nhắp chuột vào đường liên kết đó họ sẽ được kết nối đến một máy chủ ở xa và tải về một con trojan có tên TrojanDownloader.Win32.Agent.avk. Chức năng chính của con trojan này là cầu nối giúp nhiều loại phần mềm độc hại khác xâm nhập vào hệ thống bị nhiễm. Chuyên gia nghiên cứu Lenny Zeltser của...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Trojan giả mạo cảnh báo bảo mật của Microsoft

Trojan giả mạo cảnh báo bảo mật của Microsoft Những email thường mang tựa đề "Cumulative Security Update for Internet Explorer" giả mạo cung cấp bản vá lỗi nguy hiểm cho trình duyệt Internet Explorer. Có đường liên kết cụ thể cho phép người dùng tải về bản vá. Nếu người dùng nhắp chuột vào đường liên kết đó họ sẽ được kết nối đến một máy chủ ở xa và tải về một con trojan có tên Trojan- Downloader.Win32.Agent.avk. Chức năng chính của con trojan này là cầu nối giúp nhiều loại phần mềm độc hại khác xâm nhập vào hệ thống bị nhiễm. Chuyên gia nghiên cứu Lenny Zeltser của SANS Internet Storm Center - hãng phát hiện ra đợt tấn công này - nhận định mục tiêu của tin tặc trong chiến dịch lừa đảo lần này có thể là những tên miền và máy chủ chúng đang cần để tiếp tục mở rộng việc tấn công. Những vụ tấn công kiểu như thế này hiện vẫn lừa được không ít người dùng. Thường người dùng không để ý đến những khác biệt
giữa một bản tin cảnh báo chính thống và giả mạo cho dù sản phẩm giả mạo chứa những lỗi rất dễ bị phát hiện. Người dùng cần chú ý một điều Microsoft không bao giờ gửi bản tin cảnh báo thông qua email trước khi hãng phát hành bản cập nhật định kỳ hàng tháng. Thêm vào đó đường liên kết đến bản vá lỗi sẽ dẫn người dùng đến chính trang cung cấp thông tin đầy đủ về bản vá chứ không phải là một tệp tin. Virus hoạt động thông qua cơ chế gắn code vào bất cứ file tương thích nào rồi tìm kiếm một tập lệnh nào đó để thay thế và chuyển tiếp code của virus. Nếu không tìm thấy tập lệnh, virus sẽ vẫn nằm đó nhưng không tiến hành kiểm soát thiết bị. Virus chỉ chạy trên các file có phần mở rộng ASM, và do vậy nếu muốn nhân bản, virus phải chạy kiểm tra xem máy tính có file đuôi ASM hay không. ASM là phần mở rộng tên file của chương trình ngôn ngữ nguồn assembly. Khi đã lây nhiễm thành công, virus sẽ xoá sạch màn hình máy tính và hiển thị dòng thông điệp: t89.GARRA. Máy tính
sẽ vẫn hoạt động bình thường khi quá trình lây nhiễm này kết thúc.