Đăng Nhập
Tìm kiếm
Top posting users this month
No user |
Thống Kê
Hiện có 1 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 1 Khách viếng thăm Không
Số người truy cập cùng lúc nhiều nhất là 58 người, vào ngày Wed Aug 02, 2017 7:50 pm
Worm:W32/Downadup.AL
SeHTF :: Câu lạc bộ An ninh mạng for Security 2TVN :: Góc nhìn hệ thống by Security 2TVN :: An ninh máy tính by Security 2TVN :: Thông tin cập nhật Top Virus by Security 2TVN
Trang 1 trong tổng số 1 trang
22052010
Worm:W32/Downadup.AL
Worm:W32/Downadup.AL |
Downadup là một loại mã độc rất nguy hiểm và là một trong những loại sâu có khả năng sinh sản mạnh mẽ nhất trong nhiều năm qua. |
Mô tả Downadup còn được biết đến với tên gọi là Conficker hay Kido là một chương trình độc hại nhắm tới các hệ điều hành Microsoft Windows. Chúng sử dụng máy tính và hệ thống mạng để thực hiện lây nhiễm. Thông tin chi tiết Khi thi hành W32/Downadup.AL tạo bản sao chính nó trong: • %System%\[Random].dll • %Program Files%\Internet Explorer\[Random].dll • %Program Files%\Movie Maker\[Random].dll • %All Users Application Data%\[Random].dll • %Temp%\[Random].dll • %System%\[Random].tmp • %Temp%\[Random].tmp Virus này sẽ tạo khóa Autorun trong registry, đảm bảo trong đó sẽ luôn có một bản sao được thực thi khi hệ thống khởi động tất cả các ứng dụng. W32/Downadup.AL có thể tạo ra những file trên thiết bị cắm rời hoặc ổ map • %DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 random characters] • %DriveLetter%\autorun.inf Và đinh nó vào các tiến trình: • svchost.exe • explorer.exe • explorer.exe • services.exe • services.exe Vô hiệu hóa một số dịch vụ tính năng trong windows: • Windows Automatic Update Service (wuauserv) • Background Intelligent Transfer Service (BITS) • Windows Security Center Service (wscsvc) • Windows Defender Service (WinDefend) • Windows Error Reporting Service (ERSvc) • Windows Error Reporting Service (WerSvc) W32/Downadup.AL chặn không cho người dùng truy cập vào những trang web của các hãng bảo mật và gây nghẽn mạng nội bộ. Cách thức lây nhiễm - Bước đầu tiên chúng sửa đổi trong registry điều đó sẽ làm cho chúng có thể lây lan nhanh chóng qua mạng • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters "TcpNumConnections" = dword:0x00FFFFFE - Sử dụng trình điều khiển để tăng tốc độ lây nhiễm. - Khai thác lỗ hỏng trong dịch vụ server của máy tính chạy Windows, các máy tính bị nhiễm sẽ gửi yêu cầu được che chắn thông tin qua gọi thủ tục từ xa để gây ra tràn bộ đệm và thực thi dòng mã lệnh trên máy tính đích. Sử dụng các thông tin hiện tại của tài khoản bị nhiễm bệnh Thu hút các danh sách tên người dùng từ các máy tính nạn nhân, sau đó cố gắng đăng nhập vào máy tính nạn nhân bằng cách sử dụng tài khoản người dùng hiện có. Khi W32/Downadup.AL truy cập thành công vào mạng chia sẻ, nó sẽ tạo ra một bản sao của chính nó và thực hiện việc chia sẻ dữ liệu với quyền admin. Virus này khai thác lỗ hổng MS08-067 để lây nhiễm vào các máy tính chưa được cập nhật bản vá lỗi. Chúng tạo một máy chủ HTTP trên một cổng ngẫu nhiên, mã dòng lệnh đích sẽ kết nối ngược lại với máy chủ này để tải một bản sao của sâu này dưới dạng DLL. [You must be registered and logged in to see this link.] Tại đây chúng cho phép các phần mềm độc hại gửi các gói tin tặc biệt từ các máy tính bị nhiễm tới các máy khác. Tải về Downadup có khả năng tải lên các tập tin hệ thống bị nhiễm. Đầu tiên, chúng kết nối vào • ask.com • baidu.com • google.com • w3.org • yahoo.com Sau đó chúng tạo ra một loạt các danh sách mà các phần mềm mã độc có thể tải về các tập tin bổ sung Registry W32/Downadup.AL xóa một số key trong registry, tắt các thông báo từ trung tâm bảo mật, bỏ qua firewall. Để ẩn bản thân trong hệ thống, chúng xáo bất cứ các hệ thống khôi phục được tạo ra bởi người dùng, sau đó chỉnh sửa • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000 • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random% Chúng tạo ra những file tạm trong thư mục Temp. |
BS Se S2T- Chuyên viên an ninh Se S2T
- Con Giáp :
Tuổi giáp Trung Hoa :
Tổng số bài gửi : 797
Điểm Se S2T : 115494
Sinh Nhật : 03/11/1990
Tham gia ngày : 29/04/2010
Tuổi : 33
Đến từ : Thành Phố Hoa Hồng
Huy chương
Sức mạnh:
(100/100)
Điểm SeS2T:
(35/50)
Similar topics
» Worm.Win32.Palevo
» Worm.Win32.DownLoader.
» Phân tích chi tiết về Conficker Worm
» How to disinfect computer from the virus I-Worm.Nimda?
» Cách diệt virus Net-Worm.Win32.Kido
» Worm.Win32.DownLoader.
» Phân tích chi tiết về Conficker Worm
» How to disinfect computer from the virus I-Worm.Nimda?
» Cách diệt virus Net-Worm.Win32.Kido
Permissions in this forum:
Bạn không có quyền trả lời bài viết