Bạn có thể chuyển sang phiên bản mobile rút gọn của Tri thức trực tuyến nếu mạng chậm. Đóng

Mã độc thông minh lây nhiễm qua email

Đội phản ứng với nguy cơ bảo mật của Cisco khám phá và công bố mã độc Rombertik. Đây được xem là chương trình thông minh và nguy hiểm.

Rombertik có thể xáo trộn hoạt động của chính bản thân khi nó quét thấy có dấu hiệu bị theo dõi. Ngoài ra, nếu Rombertik nhận thấy mình đang hoạt động trong phạm vi một máy ảo (Virtual Machine), nó có thể hủy hoại cả ổ cứng bằng cách ghi đè lên MBR (Master Boot Record).


Mã độc này được phát tán qua email rác, lừa đảo trực tuyến. Nó có thể nghe lén, bắt gói dữ liệu trao đổi ra vào của trình duyệt trên các máy tính bị lây nhiễm. Ngoài ra, một chức năng khác của Rombertik là kiểm tra xem nó có đang vận hành trong "hộp cát" của máy tính ảo (VM) hay không.

"Hộp cát" (sandbox) trên máy ảo là một môi trường bảo mật, vùng an toàn nơi mã độc dù có hoành hành cũng không ảnh hưởng đến hệ thống. Do đó, tính năng của Rombertik nhằm chống lại việc bị vô hiệu hóa bởi "hộp cát". Khi nó không nằm trong môi trường bị hạn chế bởi "hộp cát" tạo ra, Rombertik bắt đầu bung các chức năng phá hoại.

Theo Cisco, 97% các tập tin đóng gói trong mã độc Rombertik là dành cho hình ảnh và chức năng. Tuy nhiên, Rombertik hầu như không dùng đến chúng. Khi mã độc bắt đầu chạy, nó bắt đầu viết 960 triệu byte dữ liệu ngẫu nhiên vào bộ nhớ. Đây là tuyệt chiêu đánh chặn những ứng dụng bảo mật nào đang cố theo dõi hoạt động của nó, làm ngập chúng với hơn 100 GB tập tin bản ghi.

Nếu Rombertik phát hiện mình bị "hộp cát" giới hạn các hành vi phá hoại, nó "nổi giận" và dùng để đòn "thảm sát". Theo đó, mã độc sẽ vô hiệu hóa ổ đĩa cứng vật lý bằng cách chép đè lên Master Boot Record. Theo đó, cơ hội phục hồi dữ liệu cho ổ cứng gần như vô vọng.

Nếu không có quyền chép đè, Rombertik mã hóa toàn bộ tập tin trong thư mục C:\Documents and Settings\Administrator với khóa mã hóa RC4. 

Theo các chuyên gia bảo mật từ Kaspersky, người dùng máy tính nên cẩn trọng khi sử dụng email, đặc biệt là những thư gửi kèm các liên kết (link) trong nội dung hay tập tin đính kèm. 

Ngoài ra, người dùng cần sử dụng các chương trình bảo vệ hệ thống bao gồm tường lửa như Kaspersky Internet Security, Trend Micro, Avast, Avira... Việc này cũng cần cập nhật dữ liệu mới nhất về mã độc và luôn bật chương trình anti-virus này trên hệ thống.

Minh Trí

Bạn có thể quan tâm