Mô tả về mẫu Trojan.Win32.Oficla.w

QuanTriMang.com - Có thể nói đây là 1 loại chương trình độc hại khá đặc biệt – với cơ chế và cách thức hoạt động khác hẳn so với những mẫu đã từng được biết đến trước kia. Chúng có thể thực hiện nhiều hành động phá hoại như xóa, ngăn chặn truy cập, chỉnh sửa hoặc sao chép dữ liệu của người sử dụng, làm nghẽn tốc độ truy cập mạng và các chức năng khác trong cùng 1 hệ thống. Do đó, chúng ta có thể coi đây là 1 biến thể Trojan vô cùng đa năng – hiểu nôm na là chúng được tổng hợp từ nhiều dòng Trojan khác.

Loại Trojan.Win32.Oficla.w – được Kaspersky phân loại và đặt tên, còn được biết đến với những tên sau:

- Trojan.Win32.Agent.duxv (được phát hiện bởi Kaspersky Lab)
- Trojan: SpyAgent-br.dll (McAfee)
- Mal/Oficla-A (Sophos)
- Trj/Sinowal.WZZ (Panda)
- Trojan:Win32/Oficla.M (MS(OneCare))
- Trojan.Oficla.38 (DrWeb)
- Win32/Oficla.GN trojan (Nod32)
- Trojan.Oficla.S (BitDef7)
- Win32:Rootkit-gen [Rtk] (AVAST)
- Trojan.Win32.Oficla (Ikarus)
- Generic17.CFKT (AVG)
- TR/Spy.Inject.L (AVIRA)
- Trojan.Sasfis (NAV)
- W32/Oficla.FJ (Norman)
- Trojan.Win32.Generic.5205573B (Rising)
- Trojan.Win32.Oficla.w [AVP] (FSecure)
- TROJ_DLOADR.SMVE (TrendMicro)
- Trojan.Win32.Sasfis.a (v) (Sunbelt)

Dấu hiệu đầu tiên của Trojan.Win32.Oficla.w được phát hiện vào ngày 26/04/2010 lúc 21:24 GMT, chúng bắt đầu hoạt động sau đó 1 ngày – 27/04/2010 lúc 03:50 GMT, và các thông tin phân tích được công bố vào 07/07/2010 - 11:08 GMT.

Phân tích chi tiết về mặt kỹ thuật

Tương tự như các chương trình Trojan khác, chúng có cơ chế tự động tải và kích hoạt các loại malware khác khi đã xâm nhập thành công vào máy tính của nạn nhân. Và khi được kích hoạt, những chương trình Trojan này sẽ giải nén và tạo ra những file của hệ thống Windows (*.dll) trong thư mục hệ thống có dạng: %system%\thxr.wgo. Đồng thời, để được kích hoạt cùng Windows khi khởi động, chúng sẽ tạo ra các khóa key trong Registry như sau:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe rundll32.exe thxr.wgo nwfdtx"

Quá trình Payload

Khi cài đặt thành công, chương trình sẽ liên lạc với server chính:

http://hu*********.ru /images/bb.php

tại đây chúng sẽ nhận lại những tín hiệu chỉ thị với cú pháp lệnh và những tham số dưới dạng sau: "runurl":

- Tải các file khác nhau về thư mục tạm %temp% từ những đường dẫn chỉ định bên trên và kích hoạt chúng: "taskid"

- Chỉ định số các tác vụ cố định: "delay"

- Chỉ định các server đã từng liên lạc: "backurls"

- 1 danh sách địa chỉ các server hỗ trợ mà những chương trình độc hại này sẽ kết nối tới sau đó. Và tất cả những địa chỉ này được lưu trữ tại khóa:

[HKL\SOFTWARE\Classes\idid]
"reporturls"

- Sau khi câu lệnh này thực hiện chức năng kết nối tới server, chúng sẽ tiếp tục nhận lệnh điều khiển từ những server khác.

- Do vậy, chúng có thể liên tục tải và cài đặt các loại malware khác nhau trên máy tính của nạn nhân. Tại thời điểm của bài viết này, tất cả các lệnh chúng nhận được đều hướng tới file duy nhất sau đây:

http://russ**nmomds.ru/dogma.exe

- Mặt khác, tin tặc còn có thể sử dụng những chương trình này để thay đổi và cấu hình lại những chương trình độc hại sẽ được sử dụng tiếp theo trên các server khác.

Thứ Sáu, 10/09/2010 15:23
31 👨 1.503
0 Bình luận
Sắp xếp theo