Xuất hiện phiên bản mới của phần mềm độc hại Rovnix
Các nhà nghiên cứu đã phát hiện được một phiên bản mới của phần mềm độc hại Rovnix với một số tính năng bổ sung bao gồm thuật toán thế hệ tên miền mới và một kênh truyền dẫn an toàn để giao tiếp với các máy chủ ra lệnh và kiểm soát. Rovnix là một dạng biến thể phần mềm độc hại được hình thành ...
Các nhà nghiên cứu đã phát hiện được một phiên bản mới của phần mềm độc hại Rovnix với một số tính năng bổ sung bao gồm thuật toán thế hệ tên miền mới và một kênh truyền dẫn an toàn để giao tiếp với các máy chủ ra lệnh và kiểm soát.
Rovnix là một dạng biến thể phần mềm độc hại được hình thành bởi các loại phần mềm độc hại khác nhau. Năm ngoái, Microsoft đã cảnh báo người dùng về một chiến dịch liên quan đến phần mềm độc hại có tên là Upatre. Nó thường được hình thành thông qua việc phát tán các tin nhắn rác. Sau khi cài đặt trên một máy tính mới, Upatre đôi khi sẽ tiếp cận với máy chủ điều khiển và tự động tải về Rovnix. Phần mềm độc hại mà sau đó sẽ ra sức xâm nhập vào tiến trình explorer.exe.
Theo như phân tích của các nhà nghiên cứu của CSIS ở Đan Mạch các phiên bản mới hơn của Rovnix có một số khác biệt so với phiên bản cũ. Peter Kruse của CSIS cho rằng nhóm tội phạm tạo ra Rovnix đã sửa đổi một chút để tránh bị phát hiện bởi các sản phẩm bảo mật.
Trong phiên bản mới nhất của Rovnix, nhóm tội phạm đã thay đổi giao thức nhằm tránh bị phát hiện lưu lượng truy cập của mô hình này. Vì vậy bây giờ nó ngẫu nhiên tạo ra một tên tập tin bất kỳ trong đó quan trọng nhất là chữ cái đầu tiên. Nó có thể là một trong ba chữ cái sau: “c” tương ứng với config.php, “t” tương ứng với task.php và “d” tương ứng với data (dữ liệu).
Kruse nói rằng phiên bản mới nhất của Rovnix đã được tìm thấy trong một số chiến dịch nhắm mục tiêu vào những người dùng tại nhiều nước châu Âu trong đó có Na Uy và Ba Lan. Có một vài sự khác biệt trong từng chiến dịch được phát hiện. Trong đó việc thay đổi liên tục và mã hoá để bảo vệ thông tin liên lạc với máy chủ điều khiển. CSIS đã tìm thấy một bản sao chi tiết về hướng dẫn sử dụng cho bản Rovnix viết bằng tiếng Nga trong đó nó mô tả làm thế nào để thiết lập bảng điều khiển Web cho các phần mềm độc hại.
Kruse cho biết “Trong chiến dịch nhắm vào mục tiêu người dùng tại Na Uy, một phiên bản mới của bảng điều khiển được đặt tên là “IAP” đã được đưa vào sử dụng. Bảng điều khiển C&C có thể được viết lại và đổi tên sau khi có bất kỳ lỗi nào ảnh hưởng đến các phiên bản trước.
threatpost
