Việt Nam đứng đầu danh sách các quốc gia bị ảnh hưởng bởi mã độc Pushdo

Một trong những phần mềm độc hại hoạt động lâu đời nhất là Pushdo một lần nữa xuất hiện trên Internet gần đây và lây nhiễm hơn 11.000 máy tính chỉ trong 24 giờ.

Pushdo, một Trojan đa năng, chủ yếu được biết đến với việc lây nhiễm phần mềm độc hại tài chính như Zeus và SpyEye vào máy tính bị nhiễm hoặc cung cấp các chiến dịch thư rác thông qua một thành phần thường gọi là Cutwail được cài đặt trên máy tính bị xâm nhập. Pushdo xuất hiện lần đầu tiên hơn 7 năm trước và là một virus rất mạnh trong năm 2007.

Hiện một biến thể mới của phần mềm độc hại này đang được cập nhật để tận dụng một thuật toán sinh tên miền thế hệ mới (DGA) là một cơ chế phòng tránh với các phương pháp kiểm soát giao tiếp của Pushdo với các maysc chủ điều khiển.

DGAs được sử dụng để tự động tạo ra một danh sách tên miền dựa trên một thuật toán và chỉ làm một lần tại một thời điểm, ngăn chặn việc người dùng hay các chuyên gia phân tích mã độc có thể nhìn thấy để việc kiểm soát tên miền trở nên gần như không khả thi. Với sự giúp đỡ của DGA, tội phạm mạng có thể tránh việc các tên miền bị đưa vào danh sách đen.

Theo các nhà nghiên cứu tại công ty phần mềm an ninh Bitdefender, khoảng 6.000 hệ thống bị xâm nhập trong 1,5 triệu mạng botnet nhiễm biến thể Pushdo mới này. Theo Bitdefender, các nước bị ảnh hưởng nhất cho đến nay là Ấn Độ, Việt Nam và Thổ Nhĩ Kỳ, nhưng hệ thống ở Vương quốc Anh, Pháp và Mỹ cũng là mục tiêu lớn. Việt Nam chúng ta hiện bị ảnh hưởng trên 1319 máy tính, đứng đầu danh sách trên.

Công ty Rumani xác định được 77 hệ thống đã bị xâm nhập ở Anh chỉ trong 24 giờ qua, với hơn 11.000 báo cáo trên toàn thế giới bị nhiễm cùng khoảng thời gian đó.

CÁC NƯỚC BỊ LÂY NHIỄM NHIỀU NHẤT

• Vietnam – 1319
• India – 1297
• Indonesia – 610
• United States – 559
• Turkey – 507
• Iran, Islamic Republic of – 402
• Thailand – 345
• Argentina – 315
• Italy – 302
• Mexico – 274

Mặc dù đã 4 lần bị gỡ bỏ trong năm qua trên hệ thống máy chủ điều khiển (Command & Control Server – C&C) nhưng các botnet này vẫn tồn tại, phát triển và nở rộ bằng cách liên tục bổ sung thêm các kỹ thuật che giấu thông tin liên lạc tới các máy chủ điều khiển của nó.

Ngoài DGA, kẻ tấn công cũng đã sử dụng trở lại các khóa mã hóa công khai và khóa bí mật được sử dụng để bảo vệ các thông tin liên lạc giữa các chương trình và các máy chủ điều khiển, các giao thức được sử dụng cho thông tin liên lạc.

Chúng cũng có thêm một lớp mã hóa phủ (encrypted overlay) cho chương trình Pushdo mới nhất, hoạt động như một “checkup“, đảm bảo các mẫu phần mềm độc hại sẽ không chạy đúng cách trừ khi điều kiện nhất định được quy định trong các lớp phủ không được đáp ứng.

Cách tiếp cận mới này của bọn tội phạm mạng sẽ làm cho các cơ quan an ninh gặp nhiều khó khăn hơn trong việc nỗ lực hạ gục Botnet này trên toàn thế giới.