a. Giới thiệu về mạng botnet Zeus
Mạng botnet Zbot sử dụng mã độc Zeus, đây là một loại Trojan. Mã độc Zeus được lan truyền thông qua việc tải các chương trình từ các liên kết lừa đảo. Mạng Zbot được phát hiện lần đầu tiên vào tháng 7 năm 2007 khi nó được sử dụng để đánh cắp thông tin từ Sở giao thông vận tải của Hoa Kỳ. Năm 2009 theo công ty bảo mật Prevx có hơn 74.000 tài khoản FTP trên các trang web của ngân hàng của Mỹ, NASA, Monster.com, Oracle, Cisco, Amazon bị xâm nhập bởi mã độc Zeus.
33
thống thông tin trực tuyến, ngân hàng, tài chính. Các thông tin bí mật được Zeus thu thập thông qua trình duyệt web, giao thức FTP, POP... Tuy nhiên, cách hiệu quả nhất để thu thập thông tin mà mã độc Zeus sử dụng là giám sát tập tin cấu hình trên các trang web, hoặc chuyển hướng các trang web hợp pháp để hướng người dùng đến một trang web giả mạo trong đó yêu cầu người dùng kê khai các thông tin cá nhân liên quan đến mật khẩu và tài khoản người dùng.
Máy chủ điều khiển mạng botnet sẽ kiểm soát các máy tính bị lây nhiễm và ra lệnh cho các máy tính này tải về các tập tin thực thi các công việc mong muốn của tin tặc như thực thi các câu lệnh trên máy tính nạn nhân: tắt máy, khởi động lại máy tính, hoặc thậm chí xóa các tập tin hệ thống khiến máy tính phải cài đặt lại hệ điều hành mới có thể sử dụng được.
Một biến thể mới của mã độc Zeus được phát hiện có cùng họ hàng với mã độc Zeus là “Kneber” được phát hiện năm 2010, mã độc này được xây dựng trên mã nguồn của mã độc Zeus với những hành vi lây nhiễm và mục đích tương tự như tiền thân của nó là mã độc Zeus.
b. Tình hình lây nhiễm của Zeus trong không gian mạng Việt Nam
Tại Việt Nam theo báo cáo của Trung tâm VNCERT có tới hàng chục nghìn địa chỉ IP của Việt Nam đang nằm trong mạng botnet này, trong đó có tới gần 200 địa chỉ IP của cơ quan nhà nước.
34
BOTNET