Cảnh báo virus: Bankhook.A

Thứ sáu, 02 Tháng bảy 2004, 09:38 GMT+7
  • Canh bao virus Bankhook A

    Một phần mềm Trojan đánh cắp thông tin tài khoản ngân hàng, số thẻ tín dụng của người dùng đã xuất hiện trong thời gian gần đây - Bankhook.A. Điều đáng nói là Trojan Bankhook.A này rất khó phát hiện và theo như cảnh báo của các hãng bảo mật, nó sẽ gây ra nhiều thiệt hại trong thời gian tới.

    Bankhook.A, còn có tên "img1big.gif", là một phần mềm ghi tác vụ bàn phím, đột nhập vào máy tính để đánh cắp thông tin tài chính và ngân hàng. Bankhook.A hoạt động trên các hệ điều hành: Windows 2000, Windows 64-bit (AMD64), Windows 64-bit (IA64), Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

    Từ ngày xuất hiện 30/7/2004 cho tới nay, Bankhook.A mới chỉ gây thiệt hại ở quy mô nhỏ vì tỉ lệ phát tán chưa nhiều. Tuy nhiên, hãng bảo mật Panda Labs lại xếp hạng loại Trojan này ở mức "nguy hiểm" vì Bankhook.A thực chất là một file DLL (thư viện liên kết động), có khả năng tự đăng ký với hệ thống để bất cứ khi nào trình duyệt Internet Explorer (IE) được bật lên, nó sẽ tự động chạy.

    Bankhook.A cài đặt một BHO (Browser Helper Object - đối tượng trợ giúp trình duyệt) trên IE từ phiên bản 4.x tới các phiên bản gần đây nhất. Một trong số những bộ mã của Bankhook.A sẽ thực hiện các thủ tục cài đặt ban đầu, trong khi các bộ mã khác sẽ tiến hành cài đặt BHO. Khi BHO được cài xong, nó sẽ tìm kiếm các truy cập bảo mật tới đường URL của một số website về tài chính và ngân hàng khắp toàn cầu, rồi tiến hành thu thập tất cả các thông tin được truyền đi bằng phương pháp POST/GET từ trình duyệt IE trước khi mã hoá chúng bằng SSL. Các dữ liệu này (có thể là tên tài khoản, mật khẩu và số thẻ tín dụng) sau đó sẽ được gửi qua kết nối HTTP với địa chỉ: http://www.refestltd.com/cgi-bin/yes.pl .

    "Để nhận biết Bankhook.A quả thực là một vấn đề nan giải vì Trojan này không hiển thị bất cứ thông báo báo hoặc cảnh báo nào cho biết chúng đã tiếp cận tới máy tính" - cảnh báo của Panda Labs.

    Tuy nhiên, cũng theo Panda Labs, một phần mềm miễn phí có tên "BHODemon Definitive Solutions" có thể giúp các quản trị viên xác định thành phần BHO được cài đặt trên hệ thống Windows để từ đó tiến hành loại bỏ Bankhook.A

    Sau đây là các chi tiết đầy đủ về Trojan Bankhook.A

    1. Tạo một file .dll trong thư mục hệ thống: "%System%" với một tên ngẫu nhiên có độ dài 8 ký tự chữ thường. Ví dụ như: "abcde.dll" hoặc "qrstuvwx.dll". File này có độ dài 45056 byte.

    Chú ý: "%System%" là một biến và Bankhook.A có thể xác định được vị trí này đối với từng hệ điều hành. Theo mặc định, vị trí thư mục hệ thống sẽ là: C:WindowsSystem (Windows 95/98/Me); C:WinntSystem32 (Windows NT/2000); và C:WindowsSystem32 (Windows XP).

    2. Cài dll như một thành phần trợ giúp trình duyệt (BHO), để Trojan có thể chạy khi IE được mở. Để làm được điều này, Trojan sẽ tạo ra các giá trị trong khóa registry sau:


    HKEY_LOCAL_MACHINESoftwareClassesCLSID{}

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{}

    ... và khởi tạo ra giá trị:

    (Default) = %System%.dll

    trong khóa registry:

    HKEY_LOCAL_MACHINESoftwareClassesCLSID{}InProcServer32.

    {} là một giá trị ngẫu nhiên của form: {########-####-####-####-############}; chẳng hạn: {380b99b4-5f7d-7791-b8ef-499d848499e6}.

    3. File dll sẽ theo dõi các kết nối http từ máy tính tới các website sau:

    .anz.com
    .bendigobank.com.au
    .citibank.com
    .citibank.de
    .commbank.com.au
    .dab-bank.com
    .deutsche-bank.de
    .e-gold.com
    .hsbc.com.au
    .hsbc.com.hk
    .online-banking.standardchartered.com.hk
    .sparkasse-banking.de
    .stgeorge.com.au
    banking.lbbw.de
    banking.mashreqbank.com
    banknetpower.net
    barclays.co.uk
    cd.citibank.co.ae
    cibconline.cibc.com
    citibank.com.au
    dit-online.de
    easyweb.tdcanadatrust.com
    ebank.uae.hsbc.com
    ekocbank.kocbank.com.tr
    hercules.pamukbank.com.tr
    internetsube.akbank.com.tr
    lloydstsb.co.uk
    national.com.au
    nbd.ae
    online-banking.standardchartered.ae
    online.nbad.com
    pbg1.edc.citiaccess.com
    standardchartered.com
    suncorpmetway.com.au
    westpac.com.au
    www.alahlionline.com
    www.almubasher.com.sa
    www.arabi-online.com
    www.cbdonline.ae
    www.citibank.com.hk
    www.dahsing.com
    www.ebank.iba.com.hk
    www.privatebank.citibank.com.sg
    www.sabbnet.com
    www.samba.com
    www.scotiaonline.scotiabank.com
    www.unb.com
    www1.bmo.com
    www1.royalbank.com

    4. Khi Internet Explorer khởi tạo một truy vấn HTTP POST tới một trong số các tên miền trên, Trojan Backhook.A sẽ gửi thông tin tới một script cgi tại website: www.refestltd.com .

    (Theo VDC Media)

    Việt Báo
    Ý kiến bạn đọc

    Viết phản hồi

    Nhận xét tin Cảnh báo virus: Bankhook.A

    Bạn có thể gửi nhận xét, góp ý hay liên hệ về bài viết Cảnh báo virus: Bankhook.A bằng cách gửi thư điện tử tới vietbao.vn. Xin bao gồm tên bài viết Canh bao virus Bankhook A ở dạng tiếng Việt không dấu. Hoặc Cảnh báo virus: Bankhook.A ở dạng có dấu. Bài viết trong chuyên đề Tin Tổng Hợp của chuyên mục Công Nghệ.

    Bài viết mới:

    Các bài viết khác:

       TIẾP THEO >>
    VIỆT BÁO - CÔNG NGHỆ - TIN TỔNG HỢP