Mã độc thông minh lây nhiễm qua email

Chủ nhật, 10/5/2015 07:10 (GMT+7)
07:10 10/5/2015

Đội phản ứng với nguy cơ bảo mật của Cisco khám phá và công bố mã độc Rombertik. Đây được xem là chương trình thông minh và nguy hiểm.

Rombertik có thể xáo trộn hoạt động của chính bản thân khi nó quét thấy có dấu hiệu bị theo dõi. Ngoài ra, nếu Rombertik nhận thấy mình đang hoạt động trong phạm vi một máy ảo (Virtual Machine), nó có thể hủy hoại cả ổ cứng bằng cách ghi đè lên MBR (Master Boot Record).

Mã độc này được phát tán qua email rác, lừa đảo trực tuyến. Nó có thể nghe lén, bắt gói dữ liệu trao đổi ra vào của trình duyệt trên các máy tính bị lây nhiễm. Ngoài ra, một chức năng khác của Rombertik là kiểm tra xem nó có đang vận hành trong "hộp cát" của máy tính ảo (VM) hay không.

"Hộp cát" (sandbox) trên máy ảo là một môi trường bảo mật, vùng an toàn nơi mã độc dù có hoành hành cũng không ảnh hưởng đến hệ thống. Do đó, tính năng của Rombertik nhằm chống lại việc bị vô hiệu hóa bởi "hộp cát". Khi nó không nằm trong môi trường bị hạn chế bởi "hộp cát" tạo ra, Rombertik bắt đầu bung các chức năng phá hoại.

Theo Cisco, 97% các tập tin đóng gói trong mã độc Rombertik là dành cho hình ảnh và chức năng. Tuy nhiên, Rombertik hầu như không dùng đến chúng. Khi mã độc bắt đầu chạy, nó bắt đầu viết 960 triệu byte dữ liệu ngẫu nhiên vào bộ nhớ. Đây là tuyệt chiêu đánh chặn những ứng dụng bảo mật nào đang cố theo dõi hoạt động của nó, làm ngập chúng với hơn 100 GB tập tin bản ghi.

Nếu Rombertik phát hiện mình bị "hộp cát" giới hạn các hành vi phá hoại, nó "nổi giận" và dùng để đòn "thảm sát". Theo đó, mã độc sẽ vô hiệu hóa ổ đĩa cứng vật lý bằng cách chép đè lên Master Boot Record. Theo đó, cơ hội phục hồi dữ liệu cho ổ cứng gần như vô vọng.

Nếu không có quyền chép đè, Rombertik mã hóa toàn bộ tập tin trong thư mục C:\Documents and Settings\Administrator với khóa mã hóa RC4.

Theo các chuyên gia bảo mật từ Kaspersky, người dùng máy tính nên cẩn trọng khi sử dụng email, đặc biệt là những thư gửi kèm các liên kết (link) trong nội dung hay tập tin đính kèm.

Ngoài ra, người dùng cần sử dụng các chương trình bảo vệ hệ thống bao gồm tường lửa như Kaspersky Internet Security, Trend Micro, Avast, Avira... Việc này cũng cần cập nhật dữ liệu mới nhất về mã độc và luôn bật chương trình anti-virus này trên hệ thống.

Minh Trí

Mã độc Kaspersky Internet Security Rombertik Phần mềm độc hại

Đọc tiếp

CIA cố bẻ khóa iPhone gần 10 năm qua

17:04 11/3/2015 17:04 11/3/2015 Công nghệ Mobile

2 2 42

Cơ quan tình báo trung ương Mỹ (CIA) đã liên tục tìm cách phá các lớp bảo mật trên iPhone, iPad trong vài năm qua, theo một báo cáo từ The Intercept.

5 ứng dụng Android hữu ích cho người mới dùng smartphone

14:21 10/4/2015 14:21 10/4/2015 Công nghệ Công nghệ

1 -1 139

Điều đầu tiên nên làm sau khi mua về một chiếc máy Android là cài bàn phím tiếng Việt, dịch vụ lưu trữ đám mây và một ứng dụng có thể gợi ý cài đặt các ứng dụng cần thiết khác.

Tin tặc có thể khống chế hàng trăm máy bay thương mại

14:05 15/4/2015 14:05 15/4/2015 Công nghệ Công nghệ

0 2

Ngày 5/4, chính phủ Mỹ đưa ra cảnh báo gây chấn động. Đó là tin tặc có thể khống chế hàng trăm máy bay thương mại đang di chuyển trên bầu trời mỗi ngày.