World Games™



World Games™
No.1 - Gaming | Never Old One
- Connecting World Games -


Contact:
legendofkiller206@yahoo.com








    Cảnh báo trojan Neprodoor xuất hiện tại Việt Nam

    Share

    zLp™
    [Founder] Người sáng lập
    [Founder] Người sáng lập

    Giới tính Giới tính : Male
    WG$ WG$ : 34390

    Bài viết Cảnh báo trojan Neprodoor xuất hiện tại Việt Nam

    Post by zLp™ on Wed 29 Apr 2009 - 13:10


    Người dùng máy tính trong nước vừa được cảnh báo về một loại trojan
    nguy hiểm mới có tên Neprodoor có nguồn gốc từ Nga, đã xuất hiện và
    phát tán trên các máy tính tại Việt Nam.

    Sâu máy tính mang tên Trojan.Neprodoor có xuất xứ từ Nga, được thiết
    kế tinh vi để qua mặt các hệ thống xác thực, tự động đăng ký tài khoản
    của các dịch vụ mail: hotmail, yahoo, gmail…và phát tán thư rác, trong
    đó không loại trừ việc tin tặc chèn thêm mã độc. Tại Việt Nam,
    Neprodoor đã lây nhiễm vào một số máy tính và được người sử dụng gửi
    mẫu về trung tâm phân tích virus của CMC Infosec.



    Hoạt động lây nhiễm trên máy tính của Neprodoor.


    Trojan.Neprodoor được phát hiện đầu tiên vào ngày
    2/3/2009 và hoạt động như một mạng botnet. Chúng sử dụng những máy nạn
    nhân để phát tán thư rác, đồng thời kết hợp kỹ thuật rootkit (tàng
    hình) nên có khả năng qua mặt hầu hết các sản phẩm bảo mật hiện tại.

    Thông qua hệ thống mạng Internet, Trojan.Neprodoor lây nhiễm vào file
    hệ thống ndis.sys và tiêm mã độc vào file svchost.exe để thực hiện quá
    trình phát tán thư rác. Sau khi lây nhiễm thành công, trojan này sẽ
    giao tiếp với máy chủ và thực hiện bất cứ hành động nào mà máy chủ yêu
    cầu như: cung cấp thông tin bí mật của máy nạn nhân, tải mã nhị phân và
    thực hiện lệnh tấn công từ xa.

    Neprodoor được xây dựng với kỹ thuật tinh vi. Thông thường khi đăng ký
    một tài khoản email, người dùng cần tên tài khoản, mật khẩu và mã xác
    thực CAPTCHA (là một hệ thống được dùng tại các trang đăng ký, nó
    hiện ra các file ảnh chứa thông tin để từ đó xác nhận là người
    dùng đang thao tác chứ không phải là các bot máy tính đang đăng
    ký tự động).



    Nhưng với sâu Neprodoor thì các tài khoản mail từ
    Google, Yahoo hay Hotmail có thể bị đăng ký tự động vì Neprodoor có thể
    vô hiệu hệ thống captcha bằng cách kết nối tới 1 hệ thống máy chủ thực
    hiện công việc này (do các hacker Nga nắm giữ). Do đó những thư rác
    được gửi đi từ những tài khoản này sẽ nghiễm nhiên không bị các hệ
    thống mail coi là thư rác.

    Ông Nguyễn Hoàng Giang - Chuyên gia phân tích virus của CMC InfoSec
    nhận định: “Đây là một loại Trojan nguy hiểm, các biến thể mới luôn
    được cập nhật từ hệ thống điều khiển máy chủ của kẻ tấn công. Máy nhiễm
    bệnh sẽ trở thành một máy zombie trong hệ thống botnet của chúng”

    Khi nhiễm Trojan.Neprodoor người dùng có thể thấy được sự thay đổi
    trong hoạt động của hệ thống như ngốn bộ nhớ, đường truyền băng thông
    bị ảnh hưởng, xuất hiện các tiến trình svchost.exe, reader_s.exe tự tạo
    ra, biểu tượng kết nối mạng luôn sáng mặc dù người dùng không sử dụng
    các chương trình liên quan tới Internet.

    Hầu hết các hệ điều hành đều có khả năng bị nhiễm Trojan này: Windows
    2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server
    2003, Windows Vista, Windows XP.

    Đối tượng mà hacker phát tán Neprodoor hướng tới không chỉ là các doanh
    nghiệp mà ngay cả người dùng cá nhân cũng trở thành đích ngắm. Hiện nay
    chưa có một con số thống kê cụ thể nào về lượng máy tính bị nhiễm
    Neprodoor vì thực tế Trojan này hoạt động rất âm thầm, nó không bùng
    phát tại một thời điểm cụ thể và đây mới chỉ là bước dạo đầu cho một
    chiến dịch spam trong thời gian sắp tới.

    Hiện tại, công ty CMC InfoSec khuyến cáo người dùng nên tránh vào những
    trang web nhạy cảm hay những trang web lạ và luôn đảm bảo chương trình
    Antivirus được cập nhật thường xuyên để “phòng bệnh hơn chữa bệnh”.

    Hiện, chưa một phần mềm diệt virus, mã độc nào trên thế giới diệt triệt
    để loại sâu này khi chúng nhiễm vào hệ thống. Người dùng có thể thực
    hiện loại bỏ Trojan này bằng tay như sau:

    1. Ngắt kết nối mạng

    2. Vô hiệu hóa System Restore

    3. Sử dụng phần mềm Process Explorer của Microsoft kill các process:
    reader_s.exe và những process có tên svchost.exe có trong nhánh
    explorer.exe.

    4. Vào Registry, tìm tới khóa:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
    Xóa key reader_s có chứa nội dung C: WINDOWS system32 eader_s.exe

    5. Vào C: WINDOWS system32 -> xóa file reader_s.exe

    6. Do bị nhiễm trong file hệ thống ndis.sys nên cần phải dùng đĩa cài
    windows để restore lại file ndis.sys gốc trong C:WINDOWSsystem32drivers

    7. Để đảm bảo chắc chắn rằng mối nguy hiểm đã hoàn toàn được loại bỏ,
    hãy thực hiện quét toàn bộ máy tính với phần mềm antispam, antivirus
    được cập nhật phiên bản mới nhất.














      Current date/time is Sun 4 Dec 2016 - 15:10