Tối hôm qua, sau khi làm việc về tới nhà. Nhận được cuộc gọi từ một anh bạn. Nhận được phản ánh của anh về tình trạng chậm rất bất thường của máy tính và nhờ tôi kiểm tra giúp.
Tiến hành xem xét các tiến trình, trước màn hình hiện ra là một tiến trình nặng “trình ình” và chiếm những 1.8GB bộ nhớm RAM.
Đoán chắc đây là một malware và chính tiến trình này khiến cho máy tính trở nên chậm chạp. Copy nó và cpature gói tin để xem nó làm gì nào.
Dưới đây là file gốc và file gói tin tôi capture được bằng Wireshark. Nếu các bạn có hứng thú phân tích thì hãy download về.
- Tiến trình này sử dụng gần như toàn bộ năng lực của mình tính bị nhiễm để tiến hành sử dụng mạng. Các kết nối hướng về phía các máy chủ của VNG (Vinagame). Một số hướng về phía trang MP3.ZING.VN. theo ý kiến chủ quan của tôi, có thể malware này được viết để tăng lượt truy cập, lượt nghe của các bài hát trên MP3.ZING.VN. hiện tại, do số lượng bot chưa lớn, lên Zing vẫn chưa bị ảnh hưởng nhiều, nhưng trong thời gian tới, nếu lượng bot này gia tăng khoảng vài trăm đến 1000 thì nó sẽ ngốn băng thông của Zing một cách đáng chú ý.
Các bạn thử kiểm tra máy mình tại địa chỉ:
C:\windows\system32\SystemW.exe và C:\Windows\system32\mscomctl.ocanếu có tệp này thì hãy xóa ngay, vì trong thư mục System của Windows không tồn tại tệp này.
malware tiến hành sử dụng máy tính nạn nhân để kết nối tới các đường link sau.
malware tiến hành sử dụng máy tính nạn nhân để kết nối tới các đường link sau.
Tất cả các đường link trên đều dẫn tới MP3.ZING.VN
Thêm vào nữa,malware còn có chức năng như một keylogger lấy những thao tác của người dùng từ bàn phím để ăn cắp mật khẩu hay thông tin người dùng.
malware này có thể vượt qua BKAV (một phần mềm diệt virus tồi). BKAV không hề chặn kết nối mạng của tiến trình này, cũng như phát hiện nó là một keylogger khi truy cập dữ liệu bàn phím.
Thêm vào nữa,malware còn có chức năng như một keylogger lấy những thao tác của người dùng từ bàn phím để ăn cắp mật khẩu hay thông tin người dùng.
malware này có thể vượt qua BKAV (một phần mềm diệt virus tồi). BKAV không hề chặn kết nối mạng của tiến trình này, cũng như phát hiện nó là một keylogger khi truy cập dữ liệu bàn phím.
Không biết do vô tình hay cố ý, nhưng ngay sau khi tôi đăng thông tin của con Bot này trên trang cá nhân Facebook của tôi. nick của tôi đã bị “Report” và bị khóa, hiện giờ chưa thể truy cập được. Cũng có thể đây là việc làm của người sở hữu con Bot này.
nguồn : http://hoangcuongflp.wordpress.com
0 nhận xét:
Đăng nhận xét