Trang chủĐăng kýĐăng nhập Cộng đồng tin học
Thứ 7, 2021-05-08, 9:33 PM
Khung đăng nhập

http://congdongtinhoc.net
Site menu

Chuyên mục
Phần cứng - Drivers [46]
Điểm Game [37]
Tin tức - Sự kiện [128]
Bảo mật - Security [104]
Mạng Lan, WAN - Internet [44]
Phần mềm tiện ích miễn phí [51]
Điện thoại - Thiết bị số [54]
Máy tính xách tay - Laptop [71]
Tin học văn phòng - MS Office [19]
Đồ họa - thiết kế [27]
Thủ thuật máy tính [116]
Kiến thức cơ bản [48]
Hệ điều hành [51]

Bài viết lưu trữ

Tìm kiếm

Từ khóa tìm kiếm
Email thủ thuật Apple bảo mật Adobe windows 7 tăng tốc tang toc Microsoft windows xp hệ điều hành Laptop acer Lenovo sony compaq netbook miễn phí Wi-Fi download trình duyệt Google Chrome internet Firefox 3.5 Microsoft Office Chrome Internet Explorer 8 safari Công cụ cấu hình dịch vụ google IE virus spyware Bing khám phá firefox 3.6 lỗ hổng zero-day máy tính khắc phục sự cố cập nhật trojan linux ubuntu windows vista Registry Windows tiện ích pc Core i7 bộ xử lý activex control HP nâng cấp thu thuat Mozilla Toshiba Mac dell Việt Nam twitter hotmail intel phần cứng phan cung hacker USB facebook Symantec thiết bị số điện thoại di động Top 10 office card đồ họa Card đồ hoạ IpoD 3G asus mạng xã hội mien phi Blackberry game AMD nVIDIA iphone chỉnh sửa ảnh wan ROUTER hệ thống opera psp Wii hành động Xbox 360 firefox Internet Explorer Android cảm ứng

Bài mới diễn đàn
  • Phượng Đã Nở Ngoài Hiên
  • Ngựa Ô Thương Nhớ
  • Những mẩu chuyện vui
  • 1001 cách biến "sim rác" thành...
  • Windows XP Media Center Edition 2008 - S...
  • BIDV triển khai gói 10.000 tỷ đồng cho v...
  • cho em quảng cáo cái
  • Kinh nghiệm cài Windows XP cho netbook
  • Máy của em đây,em muốn mua Ram,các anh t...
  • Visual Basic v6.0sp6 (With Components)

  • User tích cực
  • Hung@info
  • thangbom
  • Hung@webmater
  • hebeo
  • giodaingan
  • david15
  • whitecat
  • luutruthongtin
  • vunguyenblue179
  • sha66b5cates0428

  • Lịch
    «  Tháng 5 2010  »
    SuMoTuWeThFrSa
          1
    2345678
    9101112131415
    16171819202122
    23242526272829
    3031

    Thăm dò ý kiến
    Rate my site
    Total of answers: 12

    Địa chỉ của bạn
    IP

    Thống kê

    Tổng số trực tuyến: 1
    Khách: 1
    Thành viên: 0

    Trang chủ » 2010 » Tháng 5 » 5 » Worm có thể lây nhiễm vào hệ thống Windows thông qua lỗ hổng PDF
    8:56 PM
    Worm có thể lây nhiễm vào hệ thống Windows thông qua lỗ hổng PDF
    Theo nghiên cứu mới nhất của nhóm bảo mật X Force trực thuộc IBM Internet Security Systems, lỗ hổng bảo mật trong file PDF sẽ giúp hacker dễ dàng đưa malware vào bên trong hệ thống Windows. Đó là sự xuất hiện của bot ZeuS, nhưng không dừng lại ở đó, lỗ hổng an ninh này còn chứa 1 mối nguy hiểm tiềm tàng khác - Worm.

    Những đoạn mã hoặc các file thực thi dưới dạng *.exe đã được nhúng sẵn vào file PDF sẽ được kích hoạt khi người dùng sử dụng chức năng Launch Actions/Launch File. Mặc dù Adobe Reader có đưa ra bản thông báo hỏi người sử dụng có muốn thực thi các file đó hay không, nhưng những thông báo đó đã được thay đổi để người dùng không hề nghi ngờ hoặc để ý đến điều gì sẽ xảy ra với hệ thống của họ.

    Được thu thập từ nhiều nguồn khác nhau, có bao gồm báo cáo của nhóm X-Force, hiện nay đang lan tràn các hộp thư spam với tiêu đề tương tự như "Setting for your mailbox are changed". Các email như thế này có đề cập đến việc người dùng nên mở file PDF đính kèm để được hướng dẫn đầy đủ và chi tiết về việc cấu hình lại tài khoản email của họ. Và rất nhiều người đã vô tình rơi vào cái bẫy nguy hiểm này khi tin vào thông báo và mở file PDF đi kèm. Kết quả là các đoạn mã độc trong file PDF đó đã lập tức tạo ra file game.exe và thực thi nó trong hệ thống của người dùng.

    Dưới đây là mô tả sơ bộ về thủ đoạn tấn công của tin tặc:


    Email spam chứa mã độc khi người dùng mở ra

    Mục tiêu được nhắm đến là hệ điều hành Microsoft Windows. Khi người dùng mở file PDF đó, lập tức họ đã kích hoạt ứng dụng cmd.exe, với mục đích là gọi ra 2 đoạn mã script.vbsbatscript.vbs:

    Khi mở file PDF đó, người sử dụng sẽ nhìn thấy bảng thông báo sau xuất hiện, nhưng đã được khéo léo ngụy trang bằng những khoảng trống như hình dưới đây:

    Nhưng khi kéo lên trên, người dùng sẽ nhìn thấy đầy đủ thông báo như sau:

    Đương nhiên các đoạn mã này nếu muốn được kích hoạt thì phải có sự tác động từ phía người sử dụng, và những kẻ tin tặc đã cẩn thận "dụ” họ bằng những thông tin "đảm bảo an toàn” như trên. Người dùng chỉ cần chọn "Open”, các đoạn mã độc nhúng trong đó sẽ lập tức tạo ra 1 file lạ với tên là game.exe có dạng như sau:

    Đoạn mã script.vbs có chứa file thực thi (ở đây chính là game.exe), được mã hóa thành chuỗi VBS. Quá trình này thực sự rất rắc rối và khó hiểu, nhưng giá trị 077, 090 thực chất là mã hóa chuẩn ASCII của 2 ký tự M và Z, đây là 2 byte đầu tiên của bất cứ file thực thi dạng *.exe của nền tảng Microsoft Windows:

    Đoạn mã này tiếp tục thực hiện công việc viết các chuỗi ký tự thành file:

     

    Đoạn mã tiếp theo (batscript.vbs) sẽ thực thi file game.exe này. Đây thực chất là 1 biến thể khác của 1 loại sâu được biết đến dưới tên là Win32/Auraax hoặc Win32/Emold. Nó sẽ tự động sao chép vào C:\Program Files\Microsoft Common\svchost.exe, và tiếp theo, sử dụng khóa HKLM\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe, để cài đặt chính nó thành ứng dụng debug của explorer.exe, và đương nhiên nó sẽ tự động được kích hoạt khi người sử dụng khởi động hệ thống Windows. Đồng thời, nó cũng tự động tạo ra 1 rootkit driver để thay thế file asyncmac.sys trong hệ thống. Bên cạnh đó, 1 phần của malware này sẽ tiếp tục lây lan, sao chép chính nó tới các phân vùng khác của toàn bộ ổ đĩa (bao gồm cả các thiết bị di động) với cơ chế autorun, nó sẽ tự động tạo file autorun.infsystem.exe trên mỗi phân vùng nó phát hiện được, thiết lập và điều chỉnh các thông số cần thiết của autorun.inf để tự động kích hoạt tiến trình system.exe.

    Nhưng thực ra vấn đề chỉ xảy ra khi người sử dụng không chú ý đến bảng thông báo đáng ngờ kia, cho nên Adobe không xếp hạng lỗ hổng này vào diện nghiêm trọng. Adobe cho rằng một chức năng hữu ích chỉ trở nên nguy hiểm khi người dùng sử dụng không đúng cách.


    T.Anh (theo H-online)

    Chuyên mục: Bảo mật - Security | Lượt xem: 529 | Thêm bởi: Hung@info | Tags: hệ thống, PDF, cảnh báo, Adobe, Worm, lây lan, virus | Đánh giá: 0.0/0
    Đăng nhập để bình luận.
    [ Đăng ký | Đăng nhập ]
    + Các bài viết khác

      Copyright Cộng đồng tin học © 2021