. Công an Nhân dân - An ninh thế giới - An ninh thế giới cuối tháng - Văn nghệ công an
中文 - English

Xuất hiện mã độc mới có thể chiếm quyền điều khiển máy tính

Thứ Ba, 31/07/2018, 20:47
Loại mã độc mới khai thác tệp .SettingContent-ms nhắm vào các máy tính cài Microsoft Windows 10 có thể chiếm quyền điều khiển máy tính nạn nhân, thông tin từ công ty chuyên về lĩnh vực an ninh mạng CyRadar cho biết.

CyRadar đã phát hiện ra chiến dịch phát tán phần mềm độc hại nhằm vào chính công ty mình. Cuộc tấn công bắt đầu bằng các email có đính kèm file PDF chứa mã độc được gửi tới một nhân viên của CyRadar. Nhân viên này nhận được 2 email có nội dung giống nhau.

Qua phân tích, CyRadar nhận định mã độc khai thác thành phần nhúng vào tệp .pdf là “.SettingContent-ms” để thực hiện tải và chạy tệp nhị phân trên Windows 10. Với việc hacker nhúng nội dung độc hại của tệp .SettingContent-ms vào file .pdf, nội dung trong thẻ đã thay đổi thành chức năng mở PowerShell có tham số. Tức là, khi mở tệp PDF thì PowerShell sẽ được thực thi với tham số trên. Đoạn tham số mã độc này tải tệp update2.exe từ một máy chủ và thực thi nó.

Mã độc mới nhắm vào các máy tính cài Microsoft Windows 10 có thể chiếm quyền điều khiển máy tính nạn nhân.

Tiếp tục đi sâu vào phân tích file nhị phân update2.exe, mã độc lại tiếp tục tải tệp nhị phân khác về máy nạn nhân và được đặt tên là wsus.exe – giống tên một tệp chuẩn trên Windows.

Sau khi tải và thực thi tệp wsus.exe, mã độc tạo thành phần khởi động cùng windows là services hoặc tạo một lịch hoạt động cho tệp độc hại này. Điều này nhằm mục duy trì hoạt động của mã độc trên máy tính nạn nhân kể cả khi tắt máy hoặc khởi động lại máy tính.

CyRadar nhận định: với các chức năng của các tệp nhị phân trong chiến dịch phát tán phần mềm độc hại này cho phép hacker có thể thay đổi file mã độc bất kỳ từ trên server. Từ đó, hacker có thể tác động được nhiều và đa dạng vào máy tính nạn nhân.

Dựa vào công nghệ Malware Graph của CyRadar, các chuyên gia của công ty đã phát hiện hacker chuẩn bị tổng cộng 7 tên miền mạo danh liên quan đến chiến dịch này. Các chuyên gia CyRadar khuyến cáo người dùng cần cảnh giác và kiểm tra kỹ email được nhận cũng như các tệp hoặc link đính kèm trong các email đó.

Đối với người dùng cá nhân, CyRadar khuyến nghị cần thường xuyên cập nhật Windows Defender phiên bản mới nhất. Còn với doanh nghiệp, cần sử dụng các công nghệ scan email để ngăn chặn các chiến dịch tấn công qua email; đồng thời, sử dụng nhưng công nghệ giám sát mạng để phát hiện kịp thời máy tính có dấu hiệu nhiễm mã độc.

V.Cường (tổng hợp)
Facebook Twitter Bản in Email Theo dõi trên News
Các tin khác
Ý kiến bạn đọc
.
.
.

Giấy phép hoạt động báo chí số 08/GP-BTTTT, cấp ngày: 05/01/2021 của Bộ thông tin & Truyền thông
Tổng Biên tập: Thiếu tướng Phạm Khải
Phó Tổng Biên tập: Đại tá Trần Duy Hiển, Thượng tá Trần Hồng Thanh, Thượng tá Phan Đăng Trường

Trụ sở Tòa soạn: Số 2A Đinh Lễ, Hoàn Kiếm, Hà Nội.
Điện thoại: 0243.8222157 (máy lẻ 701).
Hotline: 0971.011944 - Email: candonline@gmail.com
Phát hành: 0944.634669
Quảng cáo: 0985.696305

Cơ quan đại diện tại TP Hồ Chí Minh:
Số 6, Phạm Ngọc Thạch, P.6, Q.3
0283.8241917

Văn phòng Thường trú tại Đà Nẵng:
Số 56 Lý Tự Trọng, Q.Hải Châu.
0236.3886594

Văn phòng Thường trú tại ĐBSCL:
Số 111 Trần Văn Hoài, Q.Ninh Kiều, TP Cần Thơ.
0292.6250660

Văn phòng Thường trú Hải Phòng:
Số 16 Lê Đại Hành, Q.Hồng Bàng, TP Hải Phòng.
0912.113521

Văn phòng Thường trú tại Tây Nguyên:
Số 61 Lê Thánh Tông, TP Buôn Mê Thuột, Đắk Lắk.
0934.738664

Văn phòng đại diện khu vực Bắc Trung bộ:
Số 89 Trần Quang Diệu, TP Vinh, tỉnh Nghệ An.
0238.3551688

Chung nhan Tin Nhiem Mang

©2004-2024. Bản quyền thuộc về Báo Công An Nhân Dân.
®Không sao chép dưới mọi hình thức khi chưa có sự đồng ý bằng văn bản của Báo Công An Nhân Dân.