Malware tấn công VNG [mp3.zing.vn]

Tối hôm qua, sau khi làm việc về tới nhà. Nhận được cuộc gọi từ một anh bạn. Nhận được phản ánh của anh về tình trạng chậm rất bất thường của máy tính và nhờ tôi kiểm tra giúp.

Tiến hành xem xét các tiến trình, trước màn hình hiện ra là một tiến trình nặng “trình ình” và chiếm những 1.8GB bộ nhớm RAM.

screenshot2

Đoán chắc đây là một malware và chính tiến trình này khiến cho máy tính trở nên chậm chạp. Copy nó và cpature gói tin để xem nó làm gì nào.

Dưới đây là file gốc và file gói tin tôi capture được bằng Wireshark. Nếu các bạn có hứng thú phân tích thì hãy download về.

https://www.dropbox.com/s/6cyryfw2zpjfns7/mau_virus.rar

– Tiến trình này sử dụng gần như toàn bộ năng lực của mình tính bị nhiễm để tiến hành sử dụng mạng. Các kết nối hướng về phía các máy chủ của VNG (Vinagame). Một số hướng về phía trang MP3.ZING.VN. theo ý kiến chủ quan của tôi, có thể malware này được viết để tăng lượt truy cập, lượt nghe của các bài hát trên MP3.ZING.VN. hiện tại, do số lượng bot chưa lớn, lên Zing vẫn chưa bị ảnh hưởng nhiều, nhưng trong thời gian tới, nếu lượng bot này gia tăng khoảng vài trăm đến 1000 thì nó sẽ ngốn băng thông của Zing một cách đáng chú ý.

Các bạn thử kiểm tra máy mình tại địa chỉ: C:\windows\system32\SystemW.exe và C:\Windows\system32\mscomctl.oca

nếu có tệp này thì hãy xóa ngay, vì trong thư mục System của Windows không tồn tại tệp này.
malware tiến hành sử dụng máy tính nạn nhân để kết nối tới các đường link sau.

http://a1.raobuzz.com
http://a2.raobuzz.com
http://a3.raobuzz.com
http://a4.raobuzz.com
http://a5.raobuzz.com
http://a6.raobuzz.com
http://a7.raobuzz.com
http://a8.raobuzz.com
http://a9.raobuzz.com
http://b1.raobuzz.com
http://b2.raobuzz.com
http://b3.raobuzz.com
http://b4.raobuzz.com
http://b5.raobuzz.com
http://b6.raobuzz.com
http://b7.raobuzz.com
http://b8.raobuzz.com
http://b9.raobuzz.com
http://c1.raobuzz.com
http://c2.raobuzz.com
http://a12.raobuzz.com
http://a13.raobuzz.com
http://a14.raobuzz.com
http://a15.raobuzz.com
http://a22.raobuzz.com
http://a23.raobuzz.com
http://a24.raobuzz.com
http://a25.raobuzz.com
http://a32.raobuzz.com
http://a33.raobuzz.com
http://a34.raobuzz.com
http://a35.raobuzz.com
http://a42.raobuzz.com
http://a43.raobuzz.com
http://a44.raobuzz.com
http://a45.raobuzz.com
http://a52.raobuzz.com
http://a53.raobuzz.com
http://a54.raobuzz.com
http://a55.raobuzz.com
http://a62.raobuzz.com
http://a63.raobuzz.com
http://a64.raobuzz.com
http://a65.raobuzz.com
http://a72.raobuzz.com
http://a73.raobuzz.com
http://a74.raobuzz.com
http://a75.raobuzz.com
http://a82.raobuzz.com
http://a83.raobuzz.com
http://a84.raobuzz.com
http://a85.raobuzz.com
http://a92.raobuzz.com
http://a93.raobuzz.com
http://a94.raobuzz.com
http://a95.raobuzz.com

Tất cả các đường link trên đều dẫn tới MP3.ZING.VN
Thêm vào nữa,malware còn có chức năng như một keylogger lấy những thao tác của người dùng từ bàn phím để ăn cắp mật khẩu hay thông tin người dùng.
malware này có thể vượt qua BKAV (một phần mềm diệt virus tồi). BKAV không hề chặn kết nối mạng của tiến trình này, cũng như phát hiện nó là một keylogger khi truy cập dữ liệu bàn phím.

screenshot4

Không biết do vô tình hay cố ý, nhưng ngay sau khi tôi đăng thông tin của con Bot này trên trang cá nhân Facebook của tôi. nick của tôi đã bị “Report” và bị khóa, hiện giờ chưa thể truy cập được. Cũng có thể đây là việc làm của người sở hữu con Bot này.

Advertisements

2 thoughts on “Malware tấn công VNG [mp3.zing.vn]”

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s