MôtảvềmẫuTrojan-PSW.Win32.Qbot.mk Được xếp vào loại Trojan-PSW – với mục đích lấy trộm các thông tin cá nhân, các tài khoản bao gồm tên đăng nhập và mật khẩu truy cập của người sử dụng trên máy tính bị lây nhiễm. PSW là thuật ngữ viết tắt của Password Stealing Ware. Khi được kích hoạt trên máy tính, Trojan PSW sẽ tiến hành tìm kiếm tất cả các file hệ thống có thể lưu trữ các thông tin xác nhận hoặc khóa registry. Nếu mẫu dữ liệu như vậy được tìm thấy, chúng sẽ lập tức gửi về tài khoản của kẻ điều khiển đứng đằng sau thông qua email, FTP, website hoặc bất cứ hình thức nào phù hợp. 1 số loại Trojan tương tự còn đánh cắp thông tin đăng ký xác nhận phần mềm bản quyền của người sử dụng. Trojan-PSW.Win32.Qbot.mk, còn được gọi là Trojan- Downloader.Win32.Piker.cjs – tất cả đều được Kaspersky phát hiện và phân loại. Chúng được phát hiện lần đầu tiên vào ngày 27 / 05 / 2010 lúc 11:14 GMT, bắt đầu hoạt động cùng ngày - 27 / 05 / 2010 lúc 18:10 GMT, nhưng cho đến ngày 02 / 07 / 2010 - 08:11 GMT thì những thông tin phân tích chi tiết mới được công bố. Phân tích chi tiết về mặt kỹ thuật Bên ngoài nhiệm vụ chính là đánh cắp thông tin tài khoản của người dùng, chúng còn đảm nhiệm vai trò cầu nối để tin tặc đột nhập và điều khiển máy tính của nạn nhân. Về bản chất, chúng là những file Windows PE dưới dạng *.exe, với dung lượng trung bình khoảng 85 kilobyte và bộ mã nguồn của chúng được viết bằng ngôn ngữ C. Trong quá trình xâm nhập vào máy tính, chúng sẽ sản sinh những file sau từ phần thân bên trong: %allusersprofile%\qbothome\qbotinj.exe %allusersprofile%\qbothome\qbotnti.exe %allusersprofile%\qbothome\alias_qbotnti.exe %allusersprofile%\qbothome\qbot.dll %allusersprofile%\qbothome\msadvapi32.dll %allusersprofile%\qbothome\q1.<rnd> với <rnd> là chuỗi những chữ số ngẫu nhiên. Và những file đó còn được tạo ra ở những thư mục bên ngoài. Bên cạnh đó, chúng chỉnh sửa khóa Registry sau để tự động kích hoạt khi hệ thống khởi động: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Và khóa registry nguyên bản sẽ được chuyển thành: ""%allusersprofile%\qbothome\ qbotinj.exe" "%allusersprofile%\qbothome\qbot.dll" /c "<original value>" với <original value> là giá trị nguyên gốc của khóa. Quá trình lây lan Chúng có cơ chế tự nhân bản và lây lan qua các máy tính trong cùng hệ thống mạng bằng cách tự sao chép qua những thư mục hoặc ổ đĩa sau: C$\Windows\q.dll C$\Windows\q1.<rnd> ADMIN$\q.dll ADMIN$\q1.<rnd> Phương thức Payload Sau khi xâm nhập thành công, chúng sẽ tiến hành phân tích và tải những file cấu hình từ các địa chỉ sau: http://www.cdcdcdcdc2121cdsf***.com/crontab.cb http://www.cdcdcdcdc2121cds**fd.com/updates.cb http://www.cdcdcdcdc2121c**fdfd.com/updates1.cb http://www.cdcdcdcdc**21cdsfdfd.com/_qbot.cb Chức năng chính của chúng là thu thập và lưu giữ tất cả những thông tin khi người dùng khai báo vào những form có sẵn trên website, ví dụ đối với hệ thống ngân hàng, tài khoản, thanh toán trực tuyến như: Wells Fargo Bank, Bank Of America, Key Bank, PNC Bank, Fifth Third Bank, Regions Financial Corporation … Đến lúc này, chúng có thể tự chèn thêm những thư viện liên kết động - dynamic-link library (qbot.dll) vào các địa chỉ trống của tiến trình iexplore.exe (trình duyệt Internet Explorer) Mặt khác, chúng còn đánh cắp các thông tin, dữ liệu sau: - Tài khoản Microsoft Outlook - Tên đăng nhập và mật khẩu MSN - Thông tin nhận dạng của các website - Dữ liệu lưu trữ trong Cookie - Các thông tin xác nhận dưới dạng chữ ký kỹ thuật số Thông qua tài khoản hoặc email của tin tặc liệt kê trong các file cấu hình được tải về lúc trước, chúng sẽ gửi những thông tin đánh cắp được tới server của tin tặc. Bên cạnh đó, Trojan-PSW.Win32.Qbot.mk còn sử dụng các file cấu hình trên để lấy số địa chỉ và kênh của server IRC (Internet Relay Chat) – được tin tặc áp dụng như 1 phương pháp phòng bị để điều khiển những máy tính bị lây nhiễm. Thực chất, tin tặc sử dụng IRC để gán quyền truy cập tới các file hệ thống bên trong máy tính, cài đặt và kích hoạt các loại mã độc khác. Hoặc chúng có thể xóa bỏ các mã độc này khỏi máy tính chỉ với 1 câu lệnh – để tránh bị phát hiện bởi các chương trình bảo mật. Những bản cập nhật của Trojan-PSW.Win32.Qbot.mk thường được tải về từ địa chỉ sau: http://nt0***.cn/cgi-bin/jl/jlo**der.pl Đồng thời với quá trình này, chúng sẽ thu thập và gửi thông tin cụ thể của máy tính như tên máy, địa chỉ IP, vị trí địa lý, các phiên bản về hệ điều hành, ngày và giờ hệ thống … Và những thông tin này sẽ được gửi qua: http://boogie****ekid.com/cgi-bin/cli**tinfo3.pl . Mô tả về mẫu Trojan-PSW. Win32. Qbot. mk Được xếp vào loại Trojan-PSW – với mục đích lấy trộm các thông tin cá nhân, các tài. %allusersprofile%qbothomeqbotinj.exe %allusersprofile%qbothomeqbotnti.exe %allusersprofile%qbothomealias_qbotnti.exe %allusersprofile%qbothome qbot. dll %allusersprofile%qbothomemsadvapi32.dll. kê trong các file cấu hình được tải về lúc trước, chúng sẽ gửi những thông tin đánh cắp được tới server của tin tặc. Bên cạnh đó, Trojan-PSW. Win32. Qbot. mk còn sử dụng các file cấu hình trên