Biến thể mới nguy hiểm hơn nhiều Zeus Trojan

Một chương trình Zeus Trojan mới và tương đối hiếm đã được phát hiện hoàn toàn khác so với các Trojan ngân hàng khác, có khả năng bí mật ăn cắp dữ liệu, thông tin đăng nhập và các tập tin từ các nạn nhân với nhiều hình thức cũng như có thể tạo ra các trang web giả mạo hay việc chụp ảnh màn hình máy tính của nạn nhân.

Các nhà nghiên cứu tại đội FraudAction RSA Security đã phát hiện ra mối đe dọa mới nguy hiểm này và gọi chúng là “Pandemiya”. Pandemiya hiện được cung cấp cho các tội phạm mạng trong các diễn đàn ngầm như để thay thế cho Zeus Trojan khét tiếng và nhiều biến thể của nó đã được sử dụng rộng rãi trong nhiều năm nhằm mục đích ăn cắp thông tin ngân hàng của người tiêu dùng và các công ty lớn.

Mã nguồn của Zeus Trojan ngân hàng có sẵn trên các diễn đàn ngầm từ vài năm qua, dẫn  đến những kẻ phát triển phần mềm độc hại đã thiết kế ra biến thể của Zeus Trojan phức tạp hơn như Citadel, Ice IX và Gameover Zeus.

Nhưng Pandemiya là mẫu nguy hiểm nhất của phần mềm độc hại mà tác giả của nó đã dành một năm để phát triển, trong đó bao gồm 25.000 dòng lệnh được viết bằng ngôn ngữ C. Như các loại Trojan thương mại khác, Pandemiya lây nhiễm sang các máy tính và ổ đĩa khác khi nạn nhân tải từ trên các trang web về, sau đó khai thác các lỗ hổng trong các phần mềm dễ bị tổn thương như Java, Silverlight hay Flash chỉ trong vài giây.

Các nhà nghiên cứu từ RSA, bộ phận an ninh của EMC nói: “Mã nguồn Pandemiya khá thú vị, trái với xu hướng phát triển phần mềm độc hại gần đây, nó không dựa trên mã nguồn Zeus, không giống như Citadel / Ice IX… Thông qua nghiên cứu này, chúng tôi phát hiện ra rằng tác giả của Pandemiya dành gần một năm để phát triển ứng dụng và nó bao gồm hơn 25.000 dòng lệnh được viết bằng ngôn ngữ C”.

Pandemiya Trojan sử dụng Windows CreateProcess API để tự đưa mình vào các tiến trình mới được khởi tạo, bao gồm cả Explorer.exe và tái tạo chính nó khi cần thiết. Pandemiya đang được bán với giá 2,000 USD, cung cấp tất cả các tính năng bao gồm cả thông tin liên lạc được mã hóa và kiểm soát bởi máy chủ với nỗ lực không bị phát hiện.

Trojan được thiết kế với kiến trúc mô-đun để tải các plug-in bên ngoài, cho phép tin tặc thêm tính năng bổ sung chỉ bằng cách đơn giản là viết các DLL mới (DLL – thư viện liên kết năng động). Các plug-in bổ xung dễ dàng được thêm các hàm trong nhân của Trojan, các plugin này cũng được những kẻ phát triển phần mềm độc hại rao bán với giá 500$, với các plugin này cho phép tội phạm mạng có thể mở proxy trên máy tính bị nhiễm, ăn cắp thông tin FTP và lây nhiễm sang các file thực thi để có thể tiêm các phần mềm độc hại.

Những kẻ phát triển phần mềm độc hại cũng đang tìm ra các tính năng mới để có thể khai thác Remote Desktop Protocol và một module tấn công Facebook cũng như việc phát tán loại Trojan này thông qua tài khoản Facebook bị tấn công

Làm thế nào để xóa PandemiyaTrojan?

1. Xác định và xóa giá trị các key registry: HKEY_LOCAL_USER Software Microsoft Windows CurrentVersion Run và xác định tên file *.EXE trong các thư mục ứng dụng của người dùng.
2. Xác định và xóa giá trị các key registry HKEY_LOCAL_MACHINE System CurrentControlSet Control Session Manager AppCertDlls . Tìm giá trị có cùng tên như tập tin *.EXE trong bước trên.
3. Khởi động lại hệ thống. Ở giai đoạn này, Pandemiya được cài đặt nhưng không còn chạy. Hãy xóa các file liên quan khác mà bạn đã phát hiện.

Theo The Hacker News