Phát hiện mã độc Trojan mới với tên KIVARS

Published by doanh tai on

Công ty bảo mật và an ninh mạng hàng đầu thế giới Symantec cho biết, một loại phần mềm độc hại mới có khả năng tấn công vào cả các mạng máy tính hệ điều hành 64-bit mới được phát hiện. Phần mềm này có tên gọi là KIVARS.

phát hiện virus Kivars
Đây là một phần mềm khá nguy hiểm khi nó sử dụng cơ chế lan truyền thông qua mã độc TROJ_FAKEWORD.A. Đặc trưng của hệ mã độc này là việc sử dụng các biểu tượng của MS Word để dụ người dùng nhấp chuột vào.
Khi được chạy, KIVARS sẽ ngầm định tạo ra các tệp tin trong các thư mục hệ thống. Các tệp tin mà KIVARS tạo ra được biết đến như sau:

  1. %System%\iprips.dll
  2. %System%\winbs2.dll
  3. %System%\klog.dat
  4. %Temp%\NO9907HFEXE.doc

Tiếp theo trojan này sẽ ngầm định mở ra một cửa hậu (Backdoor) thông qua một phần mềm được đăng ký vào Windows Service có tên là RIP Listening. Phần mềm này sẽ tự động chạy và mở backdoor mỗi khi máy tính được khởi động.

Thông qua backdoor, hacker có thể dễ dàng thao tác và quản lý máy tính người dùng. Symantec ghi nhận được các hành động mà KIVARS đã thao tác trên máy tính nạn nhân theo danh sách dưới đây:

  1. Thực hiện các thao tác chuột và bàn phím.
  2. Bật và tắt các tiến trình (process), các phần mềm trên máy tính.
  3. Thực thi, xóa và đổi tên tệp tin.
  4. Tạo, xóa và đổi tên thư mục.
  5. Download và upload tệp tin.
  6. Chụp ảnh màn hình
  7. Đọc thông tin ổ đĩa.
  8. Ghi lại các thao tác bàn phím.
  9. Loại bỏ hay ngăn cản chạy các phần mềm diệt virus.

Sau khi đánh cắp được dữ liệu trên máy tính nạn nhân, KIVARS sẽ gửi dữ liệu đến máy chủ của hacker tại địa chỉ: gsndomain.ddns.us và markettaiwan.serveuser.com

Để ngăn chặn và hạn chế những nguy cơ do các phần mềm nguy hiểm đem lại, người dùng nên quan tâm tới các thao tác:

  1. Sử dụng tường lửa (firewall) để kiểm soát các luồng dữ liệu vào ra trên máy tính.
  2. Cài đặt mật khẩu an toàn.
  3. Tắt tính năng Autorun (Auto Play) khi cắm USB vào máy tính.
  4. Tắt tính năng chia sẻ file.
  5. Luôn cập nhập Windows và các phần mềm diệt virus phiên bản mới nhất.
  6. Không mở các tệp tin đính kèm trong những email lạ.

Tài Doanh
Theo symantec.com