Hơn 30 địa chỉ IP ở Việt Nam có dấu hiệu của mã độc Mumblehard - Thanh'sBlog - Blog công nghệ, chia sẻ niềm đam mê!

Hơn 30 địa chỉ IP ở Việt Nam có dấu hiệu của mã độc Mumblehard Không rõ

27/10/2016 Đăng bởi: Admin , Nhận xét(0) , Đọc(402) Lớn | Vừa | Nhỏ

Trung tâm ứng cứu khẩn cấp máy tính VNCert vừa cảnh báo người dùng và các doanh nghiệp về mã độc Mumblehard đã xuất hiện tại Việt Nam.

Highslide JS

Hoạt động của thành phần backdoor và Spammer

Theo VNCert, hơn 30 địa chỉ IP ở Việt Nam bị lây nhiễm mã độc Mumblehard. Đây là một họ mã độc hướng đến các máy chủ trên nền tảng Linux và BSD hoạt động ít nhất từ năm 2009.

VNCert cho biết, Mumblehard khi lây nhiễm trên máy chủ để lại backdoor và cho phép tin tặc kiểm soát máy chủ, ngoài ra nó còn tạo ra một hộp thư ảo (spam daemon) để thực hiện gửi một lượng lớn thư rác ra bên ngoài.

Mumblehard sẽ có hai thành phần, gồm: backdoor: là tập tin thực thi nằm ở thư mục tạm của hệ thống được lập lịch cứ chu kỳ 15 phút sẽ kết nối đến các máy chủ C&C để nhận lệnh. Thành phần Spammer: là một tiến trình nền (Daemon) không thường xuyên thực hiện chức năng gửi thư rác, khi chạy sẽ ẩn dưới các tên tiến trình httpd, mail hoặc init.

Với sự giúp đỡ của cảnh sát Ukraine, CysCentrum LLC và CertBund, các nhà nghiên cứu ESET đã có được thông tin về các máy chủ vào tháng 10 năm 2015. Và đến ngày 29 tháng 2 năm 2016, ESET đã kiểm soát các máy chủ điều khiển mạng botnet Mumblehard.

Tuy vậy thời điểm hiện tại vẫn ghi nhận các kết nối từ các máy chủ này đến các C&C Sinkhole. Từ đó có thể khẳng định các mã độc vẫn đang còn tồn tại trên máy và vẫn kết nối đến máy chủ để đợi lệnh. Do hiện tại không xác định cách thức lây nhiễm vào máy nên không thể đảm bảo các máy này không còn bị tin tặc kiểm soát.

Để kiểm tra và xử lý nhanh mã độc, VNCert cho biết: thành phần Backdoor thường nằm trong thư mục /var/tmp hoặc /tmp. Người dùng hoặc các doanh nghiệp có thể kiểm tra như sau (hình dưới):


Highslide JS


Đối với thành phần Spammer chạy ẩn danh dưới tên http, mail, init nhưng dưới trình biên dịch Perl. Nên có thể tìm tiến trình như sau:


Highslide JS


Được biết, mẫu Mumblehard đầu tiên được tìm thấy trên Virus Total năm 2009 và Mumblehard có mối liên kết chặt chẽ với Yellsoft- một công ty kinh doanh trực tuyến các phần mềm có thể thực hiện việc gửi một lượng lớn các email.

Trong khoảng 7 tháng nghiên cứu và thu thập dữ liệu về Mumblehard, các nhà nghiên cứu của ESET đã thống kê có tới 8867 địa chỉ IP đã bị nhiễm Mumblehard và số địa chỉ IP bị nhiễm trong một ngày có thể lên đến 3292 địa chỉ.


Nguồn Dân Trí


Nhấn Like và +1 nếu thấy bài viết có ý nghĩa!

  • Đăng lên ZingMe
  • Đăng Lên Facebook
  • Đăng Lên Twitter
  • LinkedIn
  • Đăng lên ZingMe
  • Đăng Lên Google Buzz
  • Đăng Lên FriendFeed
  • Đăng Lên Reddit
  • Đăng Lên MySpace
  • Đăng Lên Yahoo! Bookmarks
  • Đăng Lên Digg
  • Đăng Lên Yahoo Buzz
  • Đăng Lên Baidu
Đăng bình luận lên Facebook của bạn:
Khuyến cáo: Không hổ trợ comment bằng facebook nhé!

Tags: , , , , , , , , , , , , , ,
Viết nhận xét

Tên gọi

Facebook của bạn

Email

You can also login with your OpenID:
HTML code BBcode Mặt cười Ẩn giấu Hãy nhớ [Đăng nhập] [Đăng ký. ]
               
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot

Bạn muốn hình đại diện hiển thị ngay bên cạnh lời bình luận của bạn không?
Hãy tham gia vào Gravatar và thiết lập hình đại diện hoàn toàn miễn phí!
Gravatar là gì? Avatar hình đại diện toàn cầu, bạn đã có avatar chưa? click đăng ký ngay!
TÌNH HÌNH WEBSITE

Thống kê Online trên website.

Hiện có 100 người đang online
(0 thành viên và 100 khách)

Tổng quan tình hình trên ThanhBlog.InFo

Thống kê đến thời điểm hiện tại số lượt khách ghé thăm blog là: 4193764
Số người đã ghé thăm blog trong ngày là: 1013
Số bài viết: 6857 Số comment hiện tại là: 2843 Số trích dẫn 1
Số thành viên đã đăng ký là: 24397
Nào cùng nâng ly chào mừng bạn hungpdm đến với ThanhBlog. Chúc các bạn có những giây phút bổ ích và hạnh phúc !