Tìm hiểu về phần mềm độc hại
Backdoor.Win32.Bredolab.eua

Khái niệm backdoor được dùng để chỉ những phần mềm độc hại, được
tạo ra để cài, phát tán mã độc vào máy tính người của người dùng. Nếu
xét về khía cạnh chức năng và kỹ thuật, Backdoor khá giống với hệ thống
quản lý và điều phối phần mềm. Những ứng dụng độc hại này được tạo ra để
làm bất cứ yêu cầu gì mà tin tặc muốn: gửi và nhận dữ liệu, kích hoạt, sử
dụng và xóa bất cứ file nào đó, hiển thị thông báo lỗi, tự khởi động lại máy
tính …

Những chương trình như này thường được sử dụng để liên kết những nhóm
máy tính bị lây nhiễm để tạo nên mô hình mạng botnet hoặc zombie thường
gặp. Và những kẻ đứng đằng sau tổ chức này có thể dễ dàng tập trung 1 số
lượng lớn hoặc rất lớn các máy tính – lúc này đã trở thành công cụ cho tin
tặc, nhằm thực hiện những âm mưu hoặc mục đích xấu.

1 bộ phận khác của Backdoor cũng có khả năng lây lan và hoạt động giống
hệt với Net-Worm, chúng ta có thể phân biệt chúng qua khả năng lây lan,
Backdoor không thể tự nhân bản và lây lan, trái ngược hoàn toàn với Net-
Worm. Nhưng chỉ cần nhận được lệnh đặc biệt từ phía tin tặc, chúng sẽ đồng
loạt lây lan và sản sinh với số lượng không thể kiểm soát được.

Tại bài viết này, chúng ta sẽ cùng thảo luận về mẫu
Backdoor.Win32.Bredolab.eua (được đặt tên bởi Kaspersky), hoặc còn
được biết đến dưới tên gọi:

%appdata%\avdrn.dat
Về phương thức Payload, chúng thường xuyên kết nối tới server:
http://*****lo.ru
nơi chúng gửi đi những yêu cầu như sau:
GET /new/controller.php?action=bot&entity_list=&
uid=&first=1&guid=880941764&v=15&rnd=8520045
Và kết quả là chương trình sẽ nhận lại lệnh, mã cụ thể để tải các ứng dụng
malware khác, chúng sẽ được lưu tại thư mục sau và tự động kích hoạt:
%windir%\Temp\.exe
Sau đó chúng tiếp tục gửi đi những yêu cầu khác:
GET /new/controller.php?
action=report&guid=0&rnd=8520045&guid=&entity=1260187840:unique
_start;
1260188029:unique_start;1260433697:unique_start;1260199741:unique_sta
rt
những dữ liệu này thông báo với hệ thống server rằng máy tính của nạn nhân
đã bị lây nhiễm.