McAfee phát hành công cụ loại bỏ tàn dư Pinkslipbot sử dụng PC như một proxy

Tuần trước, McAfee phát hành một công cụ có tên AmIPink C2, một phần mềm dòng lệnh cho Windows giúp loại bỏ mọi tập tin còn sót lại sau khi bị nhiễm Pinkslipbot. Những tàn dư này sẽ giúp malware tiếp tục sử dụng các máy tính đã bị nhiễm độc như một proxy trung chuyển, ngay cả khi tập tin nhị phân gốc (binary file) của malware đã bị xóa và loại bỏ hoàn toàn khỏi máy tính.
Pinkslipbot là một trojan ngân hàng xuất hiện vào năm 2007, còn được biết đến với những cái tên khác như Quakbot, Qbot và PinkSlip.

Pinkslipbot - malware nổi tiếng nguy hiểm

Pinkslipbot là một malware nguy hiểm, chủ yếu bởi nó theo đuổi mục tiêu cụ thể. Nó không đuổi theo người dùng bình thường mà trước đây chỉ hướng tới các công ty ở bắc Mỹ, đặc biệt là trong ngành công nghiệp nổi trội như ngân hàng, tài chính, bảo hiểm...

Tàn dư của Pinkslipbot vẫn còn trên máy dù bạn đã loại bỏ malware

Trojan ngân hàng này không phải luôn luôn hoạt động, nó xuất hiện theo từng đợt, giống như một phần của chiến dịch được lên kế hoạch rõ ràng. Trong những năm trước, nhiều công ty an ninh mang đã dõi theo kẻ tấn công và tìm ra nhiều phiên bản khác nhau của malware này. Gần đây nhất là vụ việc được các nhà nghiên cứu an ninh mạng tại IBM phát hiện ra phiên bản Pinkslipbot đóng Active Directory trên máy tính bị nhiễm.

McAfee tìm ra chiêu thức mới của Pinkslipbot

Một trong những công ty đã dõi theo Pinkslipbot lâu nhất là McAfee. Các nhà nghiên cứu tại đây đã trình bày bản phân tích cấu trúc máy chủ C&C của trojan này và phương thức giao tiếp C&C của nó tại hội nghị an ninh Virus Bulletin năm ngoái. Trong lúc quan sát các chiến dịch của Pinkslipbot, họ đã tìm ra chiêu thức mới trong cách vạn hành của malware.

Những nhà nghiên cứu này nói rằng tác giả của Pinkslipbot thông minh hơn họ nghĩ. Theo McAfee, bên cạnh việc đánh cắp dữ liệu người dùng, trojan này còn sử dụng host bị nhiễm như một proxy server để nhận và truyền thông tin từ máy chủ C&C trung tâm tới các host bị nhiễm khác trong mạng lưới.

Công cụ mới của McAfee loại bỏ những tàn dử của Pinkslipbot

Theo McAfee, hầu hết các công cụ chỉ giúp loại bỏ các tập tin nhị phân, ngăn không cho trojan đánh cắp mật khẩu từ máy tính bị nhiễm. Quy trình loại bỏ Pinkslipbot này sẽ không ảnh hưởng tới đoạn mã được dùng để biến máy tính thành máy chủ proxy, chạy qua Windows UPnP (Universal Plug and Play).

Công cụ mới của McAfee sẽ loại bỏ những tập tin còn lại và ngăn không cho Pinkslipbot sử dụng máy tính người dùng làm trạm trung chuyển lệnh từ C&C hoặc lấy dữ liệu bị đánh cắp thông qua mạng lưới proxy. Bạn có thể tải AmIPink C2 tại đây và đọc hướng dẫn sử dụng của McAfee tại đây.