English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits (HVA News) Khả năng tự tiêu hủy, xóa dấu vết của Flame  XML
  [News]   (HVA News) Khả năng tự tiêu hủy, xóa dấu vết của Flame 10/06/2012 15:48:10 (+0700) | #1 | 264970
[Avatar]
 manthang
Journalist
[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]
Khả năng tự tiêu hủy, xóa dấu vết của Flame

Những người đứng đằng sau Flame có thể dễ dàng xóa sạch dấu vết mà Flame để lại trên các hệ thống bị lây nhiễm. Kết luận được đưa ra sau khi hãng bảo mật Symantec đã nhận thấy rằng những kẻ tấn công có thể sử dụng các máy chủ C&C (command-and-control) để loại bỏ hoàn toàn Flame khỏi máy tính của nạn nhân.

Theo một bài viết trên blog [1] của bộ phận Ứng phó An ninh của Symantec vào hôm qua, các máy chủ C&C có thể gửi một tập tin có tên Browse32.ocx tới các máy mục tiêu để gỡ bỏ siêu mã độc Flame. Sau đó tập tin này sẽ tìm kiếm trên máy bị nhiễm tất cả các tập tin mà Flame sử dụng, loại bỏ chúng và thậm chí ghi đè lên vị trí lưu trữ chúng trên ổ đĩa bằng các bit thông tin và các ký tự ngẫu nhiên để che đi dấu vết.

Qua phân tích của Symantec thì module này (tập tin Browse32.ocx) chứa 2 mã khai thác khác nhau: một là EnableBrowser, nhằm khởi tạo module và StartBrowse, nhằm xóa các tập tin do Flame tạo ra. Symantec cũng bổ sung thêm rằng module này được tạo ra vào ngày 9/5 và trông giống như SUICIDE, một module được tìm thấy trước đó trong mã chương trình của Flame.

Flame được phát hiện và được tiết lộ bởi chính phủ Iran và các công ty phương Tây cách đây 2 tuần. Con sâu này nhanh chóng gây sự chú ý hơn nhiều Stuxnet và Duqu. Dường như nó đã tồn tại, ẩn mình trong nhiều năm và không được biết đến chỉ tới khi người ta phát giác rằng tác giả của Flame đã sử dụng tấn công MD5 hash collision để giả mạo chứng chỉ số như thể do Microsoft phát hành rồi ký số lên các bản cập nhật giả mạo (thực ra là bản sao của Flame) và gửi tới các hệ thống Windows.

manthang - HVA News
(Theo Threatpost)

Tham khảo:
[0] http://threatpost.com/en_us/blogs/attackers-can-use-self-destruct-feature-kill-flame-060812
[1] http://www.symantec.com/connect/blogs/flamer-urgent-suicide
keep -security- in -mind-
[Up] [Print Copy]
  [News]   (HVA News) Khả năng tự tiêu hủy, xóa dấu vết của Flame 26/06/2013 15:49:36 (+0700) | #2 | 276923
Pilzer
Member
[Minus]    0    [Plus]
Joined: 17/01/2013 05:59:08
Messages: 13
Offline
[Profile] [PM]
Con sâu 20 MB. ọc ọc
[Up] [Print Copy]
  [News]   (HVA News) Khả năng tự tiêu hủy, xóa dấu vết của Flame 01/07/2013 18:10:16 (+0700) | #3 | 277047
dml_92
Member
[Minus]    0    [Plus]
Joined: 27/06/2013 06:55:23
Messages: 2
Offline
[Profile] [PM]
Nguy hiểm bằng con Sality không nhỉ
có vẻ trình con Flame này chỉ là ẩn thân thôi
[Up] [Print Copy]
  [News]   (HVA News) Khả năng tự tiêu hủy, xóa dấu vết của Flame 15/07/2013 18:39:31 (+0700) | #4 | 277457
code_war_509
Member
[Minus]    0    [Plus]
Joined: 14/07/2013 00:13:06
Messages: 1
Offline
[Profile] [PM]

dml_92 wrote:
Nguy hiểm bằng con Sality không nhỉ
có vẻ trình con Flame này chỉ là ẩn thân thôi 


con sality chỉ để lây file và kéo bọ trên host thôi mà smilie) với lại mấy host nó hiện giờ cũng die hết rầu... thì có liên quan gì tới flame đâu smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|