Đã tìm ra mạng Botnet tấn công các báo điện tử (Phần I)
Giới thiệu
Gần đây, nhiều trang báo điện tử Việt Nam rơi vào tình trạng không truy cập được. Nguyên nhân của tình trạng này là do các trang báo bị tấn công từ chối dịch vụ phân tán - DDoS bởi một mạng máy tính ma Botnet có số lượng khá lớn.
Đây sẽ là một bài viết kỹ thuật, mô tả hoạt động của mã độc này.
Mã độc lây trên máy tính có “hình dạng” như thế nào ?
Mã độc sau khi lây nhiễm vào máy với 2 module dll và exe được nằm trong thư mục %Program Files%Common FilesWIDCOMM. Nó khởi tạo một service giả mạo Bluetooth Service để chạy lên lúc máy tính khởi động.
Module btwdins.exe chạy lên tạo service và nạp thư viện btwdins.dll để thực thi các tác vụ của botnet. btwdins.dll làm nhiệm vụ chính của botnet, kết nối tới server điều khiển bằng giao thức HTTP để download file cấu hình về và nhận lệnh.
Đâu là các mục tiêu của cuộc tấn công DDoS ?
Có nhiều tin đồn về Dân Trí, Tuổi trẻ, Vietnamnet và một vài báo khác bị tấn công. Phân tích mã độc cho thấy, tại thời điểm này, mã độc nhận lệnh tấn công chính xác vào các tên miền sau:
Vietnamnet
Dân Trí
Tuổi trẻ
Chủ đề liên quan: Đã tìm ra mạng Botnet tấn công các báo điện tử (Phần II)
Gần đây, nhiều trang báo điện tử Việt Nam rơi vào tình trạng không truy cập được. Nguyên nhân của tình trạng này là do các trang báo bị tấn công từ chối dịch vụ phân tán - DDoS bởi một mạng máy tính ma Botnet có số lượng khá lớn.
Đây sẽ là một bài viết kỹ thuật, mô tả hoạt động của mã độc này.
Mã độc lây trên máy tính có “hình dạng” như thế nào ?
Mã độc sau khi lây nhiễm vào máy với 2 module dll và exe được nằm trong thư mục %Program Files%Common FilesWIDCOMM. Nó khởi tạo một service giả mạo Bluetooth Service để chạy lên lúc máy tính khởi động.
Module btwdins.exe chạy lên tạo service và nạp thư viện btwdins.dll để thực thi các tác vụ của botnet. btwdins.dll làm nhiệm vụ chính của botnet, kết nối tới server điều khiển bằng giao thức HTTP để download file cấu hình về và nhận lệnh.
Đâu là các mục tiêu của cuộc tấn công DDoS ?
Có nhiều tin đồn về Dân Trí, Tuổi trẻ, Vietnamnet và một vài báo khác bị tấn công. Phân tích mã độc cho thấy, tại thời điểm này, mã độc nhận lệnh tấn công chính xác vào các tên miền sau:
Vietnamnet
• vietnamnet.vn
• m.vietnamnet.vn
• batdongsan.vietnamnet.vn
• m.batdongsan.vietnamnet.vn
• m.vietnamnet.vn
• batdongsan.vietnamnet.vn
• m.batdongsan.vietnamnet.vn
Dân Trí
• dantri.vn
• s.dantri.com.vn
• m.dantri.com.vn
• dantri.com
• dantri.com.vn
• s.dantri.com.vn
• m.dantri.com.vn
• dantri.com
• dantri.com.vn
Tuổi trẻ
• tuoitre.vn
• sevice.tuoitre.vn
• wa2.tuoitre.vn
• m.tuoitre.vn
• s.tuoitre.vn
• wa3.tuoitre.vn
• wa4.tuoitre.vn
• sevice.tuoitre.vn
• wa2.tuoitre.vn
• m.tuoitre.vn
• s.tuoitre.vn
• wa3.tuoitre.vn
• wa4.tuoitre.vn
Chủ đề liên quan: Đã tìm ra mạng Botnet tấn công các báo điện tử (Phần II)