Xuất hiện Trojan do thám doanh nghiệp

[gtvwhiterose]

BitDefender đã cảnh báo về những nguy hiểm của một Trojan gián điệp mới bị họ mô tả như là "địch thủ đáng sợ", có thể được sử dụng như một công cụ do thám doanh nghiệp.
Chuyên gia bảo mật Internet BitDefender nói rằng, Trojan.Spy.YEK “đánh hơi” tìm những dữ liệu quan trọng và các lưu trữ có thể chứa thông tin cá nhân và gửi chúng cho kẻ tấn công.

Các nhà nghiên cứu malware (phần mềm độc hại) Doina Cosovan và Octavian Minea của BitDefender cho hay, vì Trojan.Spy.YEK có cả các tính năng gián điệp và cửa hậu (backdoor) nên nó là một địch thủ đáng sợ.
"Một malware gián điệp trong mạng nội bộ của công ty có nghĩa là nguy hiểm. Đáng tiếc là số lượng những mối đe dọa như vậy đang liên tục gia tăng", các nhà nghiên cứu cho biết.
"Với một file .dll đã mã hóa trong lớp phủ (overlay) của nó, Trojan này dễ dàng được lưu trong windows\system32
etconf32.dll và một khi đã nhiễm vào explorer.exe, không gì có thể ngăn nó kết nối (bất cứ khi nào cần thiết) với kẻ tấn công", các nhà nghiên cứu nói.
Phần mềm gián điệp (spyware) cửa hậu
"Thành phần backdoor giúp malware tự đăng ký như một dịch vụ để nhận và thực hiện theo hướng dẫn từ một trung tâm chỉ huy và kiểm soát, trong khi thành phần spyware gửi đi dữ liệu về các file, hệ điều hành, đồng thời cũng thực hiện nhiều ảnh chụp màn hình về các quá trình đang diễn ra".
Trojan.Spy.YEK tìm kiếm tất cả những gì được lưu trữ: e-mail (.eml, .dbx), sổ địa chỉ (.wab), cơ sở dữ liệu và các tài liệu (.doc, .odt, .pdf,…). Điều đó khiến Trojan này là nghi can hàng đầu của gián điệp doanh nghiệp vì nó nhắm tới dữ liệu riêng tư của các công ty.
Hai nhà nghiên cứu Cosovan và Minea nói rằng, Trojan có thể chạy không có vấn đề gì trên tất cả các phiên bản của Windows, từ Windows 95 đến Windows 7.

Theo PCWorld

 

[gtvwhiterose]

Xuất hiện virus mạo danh Microsoft xóa dữ liệu
Hệ thống giám sát virus của Bkav vừa phát hiện nhiều kết quả tìm kiếm dẫn đến một công cụ mạo danh hãng phần mềm Microsoft. Công cụ này chính là một loại virus phá hủy dữ liệu, nó sẽ xóa toàn bộ dữ liệu trên ổ đĩa C khi được kích hoạt.
Trong suốt tháng 10, virus Stuxnet là chủ đề thường xuyên được nhắc đến trên các phương tiện truyền thông toàn cầu. Đây là loại virus từng gây ra vụ tấn công đình đám vào hệ thống điều khiển mạng công nghiệp - SCADA của Siemens ở Ấn Độ, Indonesia, Pakistan... sau đó xuất hiện tràn lan trong các cơ sở công nghiệp ở Iran.

Thậm chí, các chuyên gia nghi ngờ có động cơ chính trị đằng sau cuộc tấn công của Stuxnet vào Iran nhằm lấy cắp tài liệu mật về chương trình hạt nhân của nước này. Do tính chất phức tạp của những câu chuyện xung quanh Stuxnet, rất nhiều người sử dụng đã tìm kiếm trên Internet các công cụ (tool) để quét và gỡ bỏ virus này.
Hệ thống giám sát virus của Bkav đã phát hiện nhiều kết quả tìm kiếm dẫn đến một công cụ mạo danh hãng phần mềm Microsoft. Công cụ này không những không có tác dụng diệt Stuxnet mà chính là một loại virus phá hủy dữ liệu, nó sẽ xóa toàn bộ dữ liệu trên ổ đĩa C khi được kích hoạt.
Các chuyên gia an ninh mạng cho biết, để tránh tải nhầm các công cụ giả mạo vốn đang tràn lan trên Internet, người dùng nên truy nhập trực tiếp vào website của các công ty phần mềm diệt virus thay vì tìm kiếm trên mạng. Tốt nhất là sử dụng phần mềm diệt virus có bản quyền.
Tại Việt Nam, trong tháng 10 vừa qua, đã có 42 website của các cơ quan, doanh nghiệp tại Việt Nam bị hacker xâm nhập, trong đó có 4 trường hợp gây ra bởi hacker trong nước, 38 trường hợp do hacker nước ngoài.
Cũng trong tháng 10 đã có 4.337 dòng virus máy tính mới xuất hiện tại Việt Nam. Các virus này đã lây nhiễm trên 4,4 triệu lượt máy tính. Virus lây nhiều nhất trong tháng qua là W32.AutoRunUSB.Worm đã lây nhiễm trên 229 ngàn lượt máy tính.

Theo VnMedia

 

[Hcivic]

Re:Xuất hiện Trojan do thám doanh nghiệp

Cảm ơn bác GTV nhé!

Cho tui ké topic của bác tý: dạo này quét virus xong thường túm được mấy chú trojan nhưng có chú delete được có chú tồn tại trơ trơ làm mình cũng lo quá! Bác nào bị như tui không?

N
Nếu bấm chuột phải vào những con chưa deleted và chọn delete thì nó ra cái thông báo này:

 

[luc]

Re:Xuất hiện Trojan do thám doanh nghiệp

Trojan bác thử quét bằng trình diệt Spyware thì hiệu quả hơn

 

[gtvwhiterose]

Re:Xuất hiện Trojan do thám doanh nghiệp

Hi Bác hcivic,
Không biết bác đã rõ về Trojan chưa, nếu chưa thì bác báo, e post 1 bài về Trojan cho bác đọc nghen. (hihihi). Giờ e giả dzụ Bác đõ bít Trojan là gì nhà.
 
Bác đang bị nhiễm 2 con Trojan. Nhưng nó đã được Symantec phát hiện và cách ly (vì 1 số trường hợp nên nó không delete được, nó chuyển qua cách ly.(như thông báo của Bác đưa lên). Hiện tại 2 con Trojan này đã an toàn với máy của Bác, vì đã bị cách ly. Chỉ có cái khó chịu là nó báo lỗi thôi. Dưới đây là mô tả về 2 loại Trojan này cho bác an tâm (e dịch 1 con đầu, rùi sau đó gửi link English luôn nha) :
 
Con Trojan.Gen
Rủi ro Cấp độ 1: Rất thấp
Phát hiện: 19 tháng 2 năm 2010
Cập nhật: 25 Tháng Hai, 2010 04:33:47
Loại: Trojan
Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Trojan.Gen là một phát hiện chung cho nhiều Trojans cá nhân, nhưng đa dạng mà các định nghĩa cụ thể chưa được tạo ra. Một phát hiện chung được sử dụng bởi vì nó bảo vệ chống lại nhiều Trojans có chung đặc điểm tương tự.

Các chương trình Trojan horse đặt ra là chương trình hợp pháp hoặc các tập tin mà người dùng có thể nhận ra và muốn sử dụng. Họ dựa vào lừa này để thu hút người dùng vào vô tình chạy các Trojan. Thường thì một Trojan sẽ bắt chước một tên tập tin cũng được biết hợp pháp hay cho mình là một loại hình cụ thể của tập tin, giống như một jpg hoặc.. File doc để lừa người dùng.

Phân phối Trojan vào máy tính bị xảy ra ở nhiều cách khác nhau. Từ email đính kèm và liên kết với tin nhắn tức thời, drive-by download và được giảm xuống bởi phần mềm độc hại khác. OMột khi được cài đặt trên các máy tính bị nhiễm, Trojan bắt đầu để thực hiện các hành động được xác định trước rằng nó được thiết kế cho.
Ngày Bảo vệ chống virus
* Ban đầu nhanh chóng phát hành phiên bản 19 tháng 2 năm 2010 sửa đổi 037
* Ra mắt phiên bản mới nhất nhanh ngày 11 tháng 12 năm 2010 sửa đổi 019
* Ban đầu được chứng nhận hàng ngày của phiên bản Ngày 19 tháng 2 năm 2010 sửa đổi 040
* Phiên bản mới nhất hàng ngày được chứng nhận 11 tháng 12 2010 phiên bản 006
* Tuần đầu tiên được chứng nhận ngày phát hành ngày 24 tháng 2 năm 2010

Đánh giá mối đe dọa : Wild
* Wild Level: Cấp thấp
* Số Nhiễm trùng: 0-49
* Số trang: 0-2
* Địa lý phân phối: Low
* Ngăn chặn mối đe dọa: Dễ dàng
* Diệt: Dễ dàng
 
Damage Thiệt hại
* Thiệt hại Cấp: Trung bình
* Tải trọng: May mở một cánh cửa khác hoặc tải xuống phần mềm độc hại trở lại.
Phân phối
* Phân phối Cấp: thấp
Rõ hơn về thông số kỹ thuật và cách loại bỏ, bác theo link này nha :  "http://www.symantec.com/security_response/writeup.jsp?docid=2010-022501-5526-99"
 
Con Trojan.ADH


"http://www.symantec.com/security_response/writeup.jsp?docid=2010-031221-0802-99"
 
Việc Bác Delete mà nóa báo lỗi trên là do 1 trong 4 trường hợp nó ghi trên đó đó Bác, rất rõ ràng.
Hi vọng giúp được Bác không nhiều thì ít (hihihi).
 

 

[Hcivic]

Re:Xuất hiện Trojan do thám doanh nghiệp

Cảm ơn bác GTV nhiều nha! Đúng là không xoá đưọc nên lần nào update Symatec xong quét lại cũng mấy chú đó mà thôi...
Lần mới đây nhất là sau khi cắm cái phone HTC của tui vào ổ cứng di dộng của bác Conco hoặc máy tính của bác Xe_vohai để cài dữ liệu VM thì phone bị dính cả loạt mấy chục con trojạn như trong hình dưới đây:

Sáng nay, máy tính để bàn của tui như bị hack vậy: Tự nhiên có cái khiên màu hồng tím xuất hiện ở góc dưới thanh Task Bar và hệ thống có thông báo nguy cấp (Risk) cần update gì đó...Tui thấy lạ vì trước giờ có xài chương trình bảo vệ nào khác đâu ngoài cái Symatec do bác Sweety cài giúp ...Thế là từ chối update và tiếp tục công việc giao dịch chứng khoán trên mạng thì bỗng có thêm 1 dấu chấm than (!) ở task bar báo là máy tính hoặc đường kết nối của tui đang có 1 IP lạ sử dụng, sau đó thì trang web giao dịch CK của tui không vào đưọc vì lỗi Time Out...Tui vội chạy ra tắt modem wifi, lát sau mở lại và tắt nguồn cáp lane nối với máy tính dưới nhà và nối cùng cái wifi dưới quán để phát cho khách xài. Tui vào mạng bằng cảd wifi gắn thêm sau lưng máy tính deck (lâu nay không xài) thì không còn thông báo gì nữa. Nhưng khách kếu wifi yếu thế!? Wifi này để tầng 1 cho khách sân thượng xài bác ah. Tui xuống thấy có 2 chú đang dùng 2 máy, loay hoay gì đó rồi đóng máy tính tiền đi về...Liệu có phải máy tính của tui bị hách wifi hay không hở các bác??

 

[Sweety]

Re:Xuất hiện Trojan do thám doanh nghiệp

Sao bác Hải ko call cho em. Máy của bác Dũng ko có cài antivirus nên bị troyjan từa lưa, mà đa số là mấy cái keygen của mấy cái soft crack thôi hà.Chỉ có chú W32.spyboot.W .... gì đó là lợi hại. Khi nó báo như thế thì bác cứ ngắt Wifi đi rồi rebooot, symantect sẽ diệt nó thôi. Vì trong thiết lập của Symantect em đã chọn cho nó del hết mấy hacktool, Spyware .... Một kinh nghiệm: Phải update thường xuyên và khi đưa bất kỳ thiết bị lưu trữ vào máy tính thì cho antivirus nó quét ngay rồi mới truy tìm tài liệu đang cần.
Tình hình hiện tại thế nào bác cập nhật lên đây xem sao nhé.

 

[Hcivic]

Re:Xuất hiện Trojan do thám doanh nghiệp

Sao bác Hải ko call cho em. Máy của bác Dũng ko có cài antivirus nên bị troyjan từa lưa, mà đa số là mấy cái keygen của mấy cái soft crack thôi hà.Chỉ có chú W32.spyboot.W .... gì đó là lợi hại. Khi nó báo như thế thì bác cứ ngắt Wifi đi rồi rebooot, symantect sẽ diệt nó thôi. Vì trong thiết lập của Symantect em đã chọn cho nó del hết mấy hacktool, Spyware .... Một kinh nghiệm: Phải update thường xuyên và khi đưa bất kỳ thiết bị lưu trữ vào máy tính thì cho antivirus nó quét ngay rồi mới truy tìm tài liệu đang cần.
Tình hình hiện tại thế nào bác cập nhật lên đây xem sao nhé.

Cảm ơn bác ! Sau khi tui tắt cái hub chia cáp xuống quán (chỉ cho khách xài bằng cái wifi tầng trên - hơi yếu - ) máy tính desktop của tui xài tạm bằng card wifi gắn thêm sau máy - hơi chậm hơn xài dây cáp - thì mới ổn đó bác. Hệ thống không thông báo gì nữa. Sáng nay trước khi đi công việc tui đã update symatec xong bật scan full lên, khi về thấy bắt 2 chú Trojan vậy mà khi online GD chứng khoán thì bị cảnh báo dồn dập vậy đó. Trưa nay tui quét lần nữa vẫn là 2 chú trojan đó nữa...
Hiện tại ở dưới thanh Taskbar vẫn còn cái biểu tượng Windows Security Alerts bác ah. Nó chạy cùng với Symatec có đụng chạm gì không ta?

 

[Sweety]

Re:Xuất hiện Trojan do thám doanh nghiệp

Không có đụng đâu bác.
Bác cài bản symantect endpoint 12, đi em đã thử rồi nó chạy tốt trên Xp. Bác uninstal symantect clien 10 trên máy và cả phần live update, sau đó restart máy và cài vô. Bản 12 em có chép trên máy của bác đó.

 

[Hcivic]

Re:Xuất hiện Trojan do thám doanh nghiệp

OK, để thử xem nào. Cảm ơn bác nhé!
Sáng nay mở máy lên "cái khiên" nó lạnh cảnh báo :"your computer may be at risk"...
Máy nặng hơn bình thường bác ah.