Điện thoại
Laptop
Phụ kiện
Smartwatch
Đồng hồ
Tablet
Máy cũ, Thu cũ
Màn hình, Máy in
Sim, Thẻ cào
Dịch vụ tiện ích
NoxPlayer xâm nhập và phát tán mã độc thông qua các bản cập nhật
Bài viết này thực hiện trên máy tính Dell Inspiron 14 chạy Windows 10, bạn có thể thực hiện tương tự cho các dòng máy tính nền tảng Windows khác.
Gần đây, các nhà nghiên cứu bảo mật ESET đã phát hiện phần mềm NoxPlayer bị tấn công và phát tán mã độc tới người dùng thông qua các bản cập nhật. Theo các nhà nghiên cứu, NoxPlayer chứa 3 mã độc khác nhau, chúng được thiết kế để giám sát người dùng, không phải đánh cắp tiền bạc.
Theo nghiên cứu của ESET thì mã độc xâm nhập và phát tán đến người dùng dựa vào các bản cập nhật của NoxPlayer từ tháng 9 năm 2020 cho đến khi các nhà nghiên cứu ESET phát hiện vào ngày 25 tháng một năm 2021.
Theo công bố kết quả nghiên cứu, tỷ lệ người bị mã độc xâm nhập số lượng rất nhỏ so với tổng số người dùng NoxPlayer, chỉ có khoảng 5 người bị gửi bản cập nhật chứ mã độc trên tổng số 100.000 người dùng NoxPlayer. Các nạn nhân sống ở Đài Loan, Hồng Kông và Sri Lanka.
Các mã độc dựa vào cơ chế cập nhật của NoxPlayer để phát tán tới thiết bị người dùng. Khi bạn khởi chạy phần mềm, NoxPlayer sẽ tự động phát hiện bản cập nhật mới và nhắc nhở người dùng cài đặt phiên bản mới này qua hộp thoại (như ảnh). Sau khi, người dùng bấm Update now, mã độc sẽ được cài vào thiết bị.
NoxPlayer gửi yêu cầu cập nhật phiên bản mới nhất
Điều này được thực hiện bằng cách truy vấn vào máy chủ cập nhật của NoxPlayer thông qua API của BigNox HTTP ( api.bignox.com ) để gửi thông báo cập nhật đến người dùng.
API Của NoxPlayer
Phản hồi của đoạn code API trên chính là thông tin cập nhật cụ thể như URL có kích thước và các thông tin liên quan đến bản cài đặt.
Phản hồi của đoạn API
Sau khi người dụng nhận được thông báo cập nhật phiên bản mới nhất và bấm Update now, file cài đặt Nox.exe sẽ được khởi chạy và cung cấp các thông số cập nhật, bao gồm cả NoxPack.exe để cài đặt bản cập nhật mới của phần mềm.
Chuỗi hành động khi bấm cập nhật
Biến thể thứ nhất
Phần mềm độc hại này truy cập vào C: \ Program Files \ Internet Explorer và chạy một trong hai tệp có tên DLL là : ieproxysocket64.dll hoặc ieproxysocket.dll.
Biến thể thứ hai
Các thành phần trong biến thể độc hại này là:
Biến thể thứ ba
Biến thể này có hai thành phần gồm:
Mở trình quản lý Task Manager > Mở tab Processes và xác định tiến trình đang chiếm dụng tài nguyên cao > Kích chuột phải vào tiến trình đó và chọn End Task nếu đó là tiến trình độc hại.
Để kiểm tra phiên bản NoxPlayer trên thiết bị của bạn có nhận được bản cập nhật độc hại, các chuyên gia ESET đề nghị người dùng nên kiểm tra xem có tiến trình nào đang chạy nền và kết nối mạng với máy chủ C&C hay không.
Bước 1: Mở trình quản lý Task Manager bằng cách nhấn chuột phải vào thanh Taskbar > Chọn Task Manager.
Mở trình quản lý Task Manager
Bước 2: Mở tab Processes và xác định tiến trình đang chiếm dụng tài nguyên cao.
Kiểm tra tiến trình nào chiếm nhiều tài nguyên
Bước 3: Kích chuột phải vào tiến trình đó và chọn End Task nếu đó là tiến trình độc hại.
End Task mã độc
Nếu bạn vừa cập nhật NoxPlayer, bạn hãy gỡ cài đặt ứng dụng và vào cài đặt lại ứng dụng từ trang chủ Nox Player. Bạn hãy tham khảo bài viết Cách tải, cài đặt Nox Player để chơi game Android trên máy tính, PC.
III. Tổng hợp tên tệp có chứa mã độc
IV. Các URL cập nhật độc hại
Xem thêm:
Trên đây là bài viết hướng dẫn bạn cách kiểm tra phiên bản NoxPlayer có nhận được bản cập nhật độc hại hay không. Hy vọng bài viết sẽ có ích cho bạn. Nếu có thắc mắc, bạn hãy để lại bình luận dưới bài viết này nhé. Chúc các bạn thành công!
↑
Xóa địa chỉ
ĐĂNG NHẬP
Hãy đăng nhập để Chia sẻ bài viết, bình luận, theo dõi các hồ sơ cá nhân và sử dụng dịch vụ nâng cao khác trên trang Game App của
Thế Giới Di Động
Tất cả thông tin người dùng được bảo mật theo quy định của pháp luật Việt Nam. Khi bạn đăng nhập, bạn đồng ý với Các điều khoản sử dụng và Thoả thuận về cung cấp và sử dụng Mạng Xã Hội.