Microsoft phát hiện botnet Nitol xuất phát tại Trung Quốc

Theo đó, Microsoft đã phát hiện ra một botnet có tên gọi Nitol và ngay lập tức hãng thực hiện các biện pháp kĩ thuật để phá các botnet này và tiến hành đóng cửa tên miền phụ liên quan đến hơn 500 loại phần mềm độc hại.
Một hoạt động có biệt hiệu B70 của Microsoft bắt đầu vào tháng 8/2011 với mục tiêu là tìm ra các phần mềm giả mạo và độc hại đã được cài đặt trên các máy tính từ nhà cung cấp trước khi chúng được đưa lên các kệ bán của các nhà bán lẻ ở Trung Quốc. Nhân viên Microsoft đã đi vào các cửa hàng và tiến hành mua 10 máy tính xách tay và 10 máy tính để bàn.

Richard Boscovich, trợ lí bộ phận tội phạm kĩ thuật số của Microsoft cho biết: 'Chúng tôi đã đến một trung tâm mua sắm PC ở Trung Quốc và tiến hành mua lấy mẫu các PC mà bất cứ người Trung Quốc bình dân có thể mua được. Chúng tôi rất ngạc nhiên khi nhanh chóng phát một điều gì đó đáng nghi ở các PC này'.

Các nhà nghiên cứu phát hiện ra rằng 4/20 máy tính mẫu được cài sẵn phần mềm độc hại, bao gồm cả một số mã độc có khả năng lây lan qua ổ USB. Một máy tính đã nhiễm vi rút Nitol có chức năng cài đặt các backdoor như là một phần của botnet để gửi thư rác hoặc tấn công các trang web. Một máy tính khác chứa mã độc backdoor Trafog cho phép kẻ tấn công truy cập từ xa các máy tính khác thông qua giao thức truyền tải tập tin FTP (File Transfer Protocol). Một máy tính nhiễm backdoor Malat có giao thức tấn công Internet Relay Chat (IRC) và cuối cùng là một máy tính nhiễm phần mềm EggDrop bị Microsoft liệt vào danh sách tình nghi là phần mềm độc hại.

Theo Microsoft, các phần mềm độc hại nói trên không hoạt động, ngoại trừ Nitol đã tích cực chạy và cố gắng kết nối với một máy chủ ra lệnh và kiểm soát dựa trên một tên miền thuộc quyền sở hữu của một công ty ở Trung Quốc có địa chỉ 3322.org, vốn được biết đến vì có liên quan đến các hoạt động gây hại kể từ năm 2008.


Microsoft tuần này đã được tòa án liên bang ở miền đông Virginia cấp phép sử dụng một kĩ thuật chống phá mã độc để lừa các máy tính bị nhiễm độc giao tiếp với các nhà nghiên cứu kiểm soát máy chủ thay vì máy chủ lệnh và kiểm soát gần 70.000 tên miền phụ lưu trữ của 565 loại phần mềm độc hại. Cũng theo Microsoft thì một số phần mềm độc hại có khả năng làm rất nhiều điều khó chịu, bao gồm bật micro và máy quay phim từ xa, ghi lại những hoạt động quan trọng và ăn cắp dữ liệu theo những cách khác nhau.

Microsoft đã yêu cầu một lệnh cấm tạm thời (TRO) đối với các chủ sở hữu của tên miền 3322.org và đại diện cho chủ sở hữu tên miền phụ. Sẽ có một phiên điều trần dự kiến diễn ra vào ngày 26/9 tới đây để thuyết phục chủ sở hữu tên miền 3322.org tiết lộ danh tính của những người đăng kí tên miền phụ bị ảnh hưởng.

Để đáp ứng lệnh TRO, cơ quan đăng kí Internet công cộng sẽ loại trừ tên miền 3322.org hoạt động,vốn được sử dụng bởi botnet Nitol và sẽ chuyển đến một tên miền mới do hệ thống của Microsoft tạo ra. Hệ thống này cho phép công ty có thể ngăn chặn botnet Nitol và 70.000 tên miền phụ độc hại được lưu trữ trên các tên miền 3322.org trong khi cho phép tất cả lưu lượng truy cập cho các tên miền phụ hợp pháp có thể hoạt động bình thường mà không bị gián đoạn.

Microsoft cho biết thêm, rõ ràng xung quanh có rất nhiều mối nguy hiểm, có thể xuất phát từ một nơi nào đó giữa những nhà bán buôn và bán lẻ cài đặt sẵn các phần mềm độc hại mà người dùng không hề hay biết.