Hướng dẫn phát hiện mã độc Win32/Aybo.B và biện pháp khắc phục

Thứ tư - 14/06/2017 03:57
Hiện tượng: Các máy trạm chạy hệ điều hành Windows (phần lớn là Windows 7) có hiện tượng khi kết nối mạng Internet sẽ tự động quá trình khởi động lại sau một vài phút là lặp lại liên tục. Nếu ngắt kết nối mạng Internet sẽ không xuất hiện hiện tượng khởi động lại máy như trên.
Hướng dẫn phát hiện mã độc Win32/Aybo.B và biện pháp khắc phục
Danh sách các hệ điều hành của máy trạm bị ảnh hưởng
Windows Vista, Windows 7, Windows 8
Danh sách các hệ điều hành của máy chủ bị ảnh hưởng
Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Nguyên nhân: Các máy tính trên bị lây nhiễm loại mã độc mới Win32/Aybo.B và được hãng Microsoft xếp ở mức lây nhiễm “rất cao”
cb1
Nguồn gốc: Mã độc khai thác lỗ hổng liên quan đến dịch vụ SMB trên hệ điều hành Windows, lây lan qua cổng 445 trên mạng ngang hàng. Sau khi lây nhiễm, mã độc mở cổng hậu kết nối ra máy chủ bên ngoài Internet và cài cắm các mã độc khác.
Phương thức lây nhiễm:
Thông qua một máy bị lây nhiễm (qua nhiều môi trường khác nhau như mở file có chứa mã độc qua email; sử dụng phần mềm không rõ nguồn gốc, qua USB…). Máy chứa mã độc sẽ khai thác lỗ hổng SMB chưa được khắc phục trên các máy chạy Windows trong hệ thống mạng của đơn vị. Tiến hành lây lan mã độc đến các máy này. Sau khi lây nhiễm mã độc, file thực thi sẽ tiến hành thực hiện các thao tác sau:
- Tiến hành quét và kết nối toàn bộ các thư mục chia sẽ trong mạng nội bộ
- Tạo các chương trình phục vụ quá trình lây nhiễm
- Tạo các file kịch bản và các tiến trình tự động khởi động cùng Windows
- Tạo các luật trên firewall để cho phép mọi kết nối theo chiều từ trong và ngoài Internet vào máy tính
- Tạo luật chặn theo chiều từ ngoài vào máy tính theo cổng 445 để ngăn chặn các mã độc khác khai thác theo cổng này.
- Xóa/ khóa các tài khoản quản trị trên máy tính (Administrator/ System/ IISUSER_ACCOUNTXX): nhằm mục đích chiếm quyền quản trị đối với những máy sử dụng tài khoản này để đăng nhập.
- Thiết lập hành vi cho phép download và thực thi các chương trình của hacker vượt qua cơ chế kiểm soát của Windows.
- Mở các cổng hậu và kết nối ra máy chủ bên ngoài để tải các mã độc khác vào máy bị lây nhiễm.
Cách thức phát hiện:
- Kiểm tra trên phân vùng cài đặt hệ điều hành (thường là ổ C:) có tồn tại file thực thi mã độc: II.exe
- Kiểm tra trên các đường dẫn có các file do mã độc tạo ra hay không:
C:\WINDOWS\Registration\R000000000007.clb
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\regdrv.exe
C:\USERS\<USER>\APPDATA\LOCAL\TEMP\REGDRV.EXE
C:\WINDOWS\registration\regdrv.exe
C:\WINDOWS\system32\net1.exe
C:\WINDOWS\WindowsShell.Manifest
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\regdrv.exe:Zone.Identifier
- Kiểm tra trên firewall của Windows có luật sau được thêm vào: Security Fix
- Kiểm tra các tài khoản người dùng trên Windows đã bị khóa hoặc xóa chưa:
Administrator/ System/ IISUSER_ACCOUNTXX
- Kiểm tra tác vụ lập lịch chạy tự động trên Windows, bằng cách trên RUN à gõ msconfig à Kiểm tra trong tab Startup có dịch vụ chứa đường dẫn: C:\WINDOWS\registration\regdrv.exe" /f /RU "SYSTEM"
- Kiểm tra kết nối ra ngoài Internet thông qua công cụ TCPView:
http://etobylovjanvare.ru/0942c3aad278ce5ea571a61712b4506a.php
http://93.174.91.3/classes/s.php?query=WXpKV2VtTXliSFppYm5kM1prUlJORTlFUlQwPQ==
etobylovjanvare.ru
Địa chỉ IP:
46.36.36.116:80
93.174.91.3:80
- Kiểm tra các tiến trình đang chạy bằng công cụ Process Explorer
Xem có tiến trình nào có tên: regdrv.exe
Biện pháp khắc phục:
1. Ngắt kết nối mạng trên máy bị lây nhiễm
2. Sử dụng các công cụ phát hiện và diệt mã độc sau để quét trên các máy bị lây nhiễm (download các công cụ này trên máy tính chưa bị lây nhiễm vào USB)
- Malwarebytes bản Free tại địa chỉ sau:
https://www.malwarebytes.com/
- BKAV bản Home tại địa chỉ sau:
bkav.com.vn
3. Sau khi quét và loại bỏ các mã độc trên, tiến hành cập nhật lại bản vá bảo mật cho hệ điều hành theo hướng dẫn sau:
3.1. Kiểm tra phiên bản Windows đang sử dụng
Cách 1: Vào Run, gõ câu lệnh “winver” để xem phiên bản Windows và Service Park đi kèm.
Cách 2: Click chuột phải vào My Computer, chọn properties
 
cb2
Lưu ý với phiên bản Windows, xem phiên bản đang chạy là 32bit hay 64bit để xác định bản vá tương ứng
3.2. Kiểm tra đã cập nhật bản vá tương ứng với ký hiệu của Microsoft chưa?
Ví dụ: Với bản vá cho lỗ hổng có ký hiệu MS17-010. Truy cập vào link sau để xem mã bản vá tương ứng với phiên bản Hệ điều hành:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
 
cb3
Kiểm tra đã cập nhật bản vá này chưa:
Chạy “cmd” gõ câu lệnh sau để kiểm tra:
wmic qfe get hotfixid | find "KBxxxx"
Thay đoạn KBxxx bằng mã như hình trên. Ví dụ như:
wmic qfe get hotfixid | find "KB4012598"
Kết quả: Nếu đã cài thì báo như sau:
 
cb4

3.3. Tiến hành cập nhật các bản vá tiếp theo:
EmeraldThread (MS 10-06) https://technet.microsoft.com/en-us/library/security/ms10-106.aspx Bản vá dành cho ứng dụng: Microsoft Exchange Server 2007 Service Pack 2 for x64-based Systems
EtemalChampion (CVE-2017-0146 và CVE-2017-0147) https://technet.microsoft.com/en-us/library/security/ms17-010.aspx 02 bản CVE này đã được cập nhật trong bản MS17-010
MS14-068 https://technet.microsoft.com/en-us/library/security/ms14-068.aspx  
MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx  
MS09-050 https://technet.microsoft.com/en-us/library/security/ms09-050.aspx  
MS08-067 https://technet.microsoft.com/en-us/library/security/ms08-067.aspx  
 
 

Tác giả bài viết: admin

Nguồn tin: ict.thanhhoa.gov.vn

Tổng số điểm của bài viết là: 5 trong 1 đánh giá

Xếp hạng: 5 - 1 phiếu bầu
Click để đánh giá bài viết

  Ý kiến bạn đọc

Thăm dò ý kiến

Bạn đã đạt chuẩn kỹ năng sử dụng công nghệ thông tin cơ bản chưa?

  • Đang truy cập11
  • Hôm nay79
  • Tháng hiện tại1,031
  • Tổng lượt truy cập28,229
.

TRUNG TÂM CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THỒNG THANH HOÁ

Chịu trách nhiệm chính: Ông Lê Xuân Lâm - Giám đốc Trung tâm
Trụ sở: 73 Hàng Than, p Lam Sơn, Tp Thanh Hoá
Điện thoại: +84 373 718 298   +84 373 718 299   

Email: ttcntt.stttt@thanhhoa.gov.vn

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây