<![CDATA[Latest posts for the topic "(HVA News) Khả năng tự tiêu hủy, xóa dấu vết của Flame"]]> /hvaonline/posts/list/13.html JForum - http://www.jforum.net (HVA News) Khả năng tự tiêu hủy, xóa dấu vết của Flame Khả năng tự tiêu hủy, xóa dấu vết của Flame Những người đứng đằng sau Flame có thể dễ dàng xóa sạch dấu vết mà Flame để lại trên các hệ thống bị lây nhiễm. Kết luận được đưa ra sau khi hãng bảo mật Symantec đã nhận thấy rằng những kẻ tấn công có thể sử dụng các máy chủ C&C (command-and-control) để loại bỏ hoàn toàn Flame khỏi máy tính của nạn nhân. Theo một bài viết trên blog [1] của bộ phận Ứng phó An ninh của Symantec vào hôm qua, các máy chủ C&C có thể gửi một tập tin có tên Browse32.ocx tới các máy mục tiêu để gỡ bỏ siêu mã độc Flame. Sau đó tập tin này sẽ tìm kiếm trên máy bị nhiễm tất cả các tập tin mà Flame sử dụng, loại bỏ chúng và thậm chí ghi đè lên vị trí lưu trữ chúng trên ổ đĩa bằng các bit thông tin và các ký tự ngẫu nhiên để che đi dấu vết. Qua phân tích của Symantec thì module này (tập tin Browse32.ocx) chứa 2 mã khai thác khác nhau: một là EnableBrowser, nhằm khởi tạo module và StartBrowse, nhằm xóa các tập tin do Flame tạo ra. Symantec cũng bổ sung thêm rằng module này được tạo ra vào ngày 9/5 và trông giống như SUICIDE, một module được tìm thấy trước đó trong mã chương trình của Flame. Flame được phát hiện và được tiết lộ bởi chính phủ Iran và các công ty phương Tây cách đây 2 tuần. Con sâu này nhanh chóng gây sự chú ý hơn nhiều Stuxnet và Duqu. Dường như nó đã tồn tại, ẩn mình trong nhiều năm và không được biết đến chỉ tới khi người ta phát giác rằng tác giả của Flame đã sử dụng tấn công MD5 hash collision để giả mạo chứng chỉ số như thể do Microsoft phát hành rồi ký số lên các bản cập nhật giả mạo (thực ra là bản sao của Flame) và gửi tới các hệ thống Windows. manthang - HVA News (Theo Threatpost) Tham khảo: [0] http://threatpost.com/en_us/blogs/attackers-can-use-self-destruct-feature-kill-flame-060812 [1] http://www.symantec.com/connect/blogs/flamer-urgent-suicide]]> /hvaonline/posts/list/42616.html#264970 /hvaonline/posts/list/42616.html#264970 GMT (HVA News) Khả năng tự tiêu hủy, xóa dấu vết của Flame /hvaonline/posts/list/42616.html#276923 /hvaonline/posts/list/42616.html#276923 GMT (HVA News) Khả năng tự tiêu hủy, xóa dấu vết của Flame /hvaonline/posts/list/42616.html#277047 /hvaonline/posts/list/42616.html#277047 GMT (HVA News) Khả năng tự tiêu hủy, xóa dấu vết của Flame

dml_92 wrote:
Nguy hiểm bằng con Sality không nhỉ có vẻ trình con Flame này chỉ là ẩn thân thôi 
con sality chỉ để lây file và kéo bọ trên host thôi mà :)) với lại mấy host nó hiện giờ cũng die hết rầu... thì có liên quan gì tới flame đâu :P]]> /hvaonline/posts/list/42616.html#277457 /hvaonline/posts/list/42616.html#277457 GMT