Dân Sinh Dân sinh Fica Fica DTiNews DTiNews

Hơn 30 địa chỉ IP ở Việt Nam có dấu hiệu của mã độc Mumblehard cực nguy hiểm

(Dân trí) - Trung tâm ứng cứu khẩn cấp máy tính VNCert vừa cảnh báo người dùng và các doanh nghiệp về mã độc Mumblehard đã xuất hiện tại Việt Nam.

20161026-zbxgc986ia-1477540751932

Hoạt động của thành phần backdoor và Spammer

Theo VNCert, hơn 30 địa chỉ IP ở Việt Nam bị lây nhiễm mã độc Mumblehard. Đây là một họ mã độc hướng đến các máy chủ trên nền tảng Linux và BSD hoạt động ít nhất từ năm 2009.

VNCert cho biết, Mumblehard khi lây nhiễm trên máy chủ để lại backdoor và cho phép tin tặc kiểm soát máy chủ, ngoài ra nó còn tạo ra một hộp thư ảo (spam daemon) để thực hiện gửi một lượng lớn thư rác ra bên ngoài.

Mumblehard sẽ có hai thành phần, gồm: backdoor: là tập tin thực thi nằm ở thư mục tạm của hệ thống được lập lịch cứ chu kỳ 15 phút sẽ kết nối đến các máy chủ C&C để nhận lệnh. Thành phần Spammer: là một tiến trình nền (Daemon) không thường xuyên thực hiện chức năng gửi thư rác, khi chạy sẽ ẩn dưới các tên tiến trình httpd, mail hoặc init.

Với sự giúp đỡ của cảnh sát Ukraine, CysCentrum LLC và CertBund, các nhà nghiên cứu ESET đã có được thông tin về các máy chủ vào tháng 10 năm 2015. Và đến ngày 29 tháng 2 năm 2016, ESET đã kiểm soát các máy chủ điều khiển mạng botnet Mumblehard.

Tuy vậy thời điểm hiện tại vẫn ghi nhận các kết nối từ các máy chủ này đến các C&C Sinkhole. Từ đó có thể khẳng định các mã độc vẫn đang còn tồn tại trên máy và vẫn kết nối đến máy chủ để đợi lệnh. Do hiện tại không xác định cách thức lây nhiễm vào máy nên không thể đảm bảo các máy này không còn bị tin tặc kiểm soát.

Để kiểm tra và xử lý nhanh mã độc, VNCert cho biết: thành phần Backdoor thường nằm trong thư mục /var/tmp hoặc /tmp. Người dùng hoặc các doanh nghiệp có thể kiểm tra như sau (hình dưới):

Hơn 30 địa chỉ IP ở Việt Nam có dấu hiệu của mã độc Mumblehard cực nguy hiểm - 2

Đối với thành phần Spammer chạy ẩn danh dưới tên http, mail, init nhưng dưới trình biên dịch Perl. Nên có thể tìm tiến trình như sau:

Hơn 30 địa chỉ IP ở Việt Nam có dấu hiệu của mã độc Mumblehard cực nguy hiểm - 3

Được biết, mẫu Mumblehard đầu tiên được tìm thấy trên Virus Total năm 2009 và Mumblehard có mối liên kết chặt chẽ với Yellsoft- một công ty kinh doanh trực tuyến các phần mềm có thể thực hiện việc gửi một lượng lớn các email.

Trong khoảng 7 tháng nghiên cứu và thu thập dữ liệu về Mumblehard, các nhà nghiên cứu của ESET đã thống kê có tới 8867 địa chỉ IP đã bị nhiễm Mumblehard và số địa chỉ IP bị nhiễm trong một ngày có thể lên đến 3292 địa chỉ.

Gia Hưng

Sức mạnh số
Tin mới