Biến thể virus mới đây được các nhà nghiên cứu của hãng bảo mật Cisco phát hiện có khả năng tự hủy để tránh bị "tóm gọn" sau khi các ứng dụng phân tích virus phát hiện ra chúng.
Theo các nhà nghiên cứu bảo mật tại Cisco, một loại phần mềm độc hại mới có tên Rombertik vừa bị phát hiện cho thấy chúng có thể tự phá hủy những dữ liệu quan trọng lưu trữ trong tệp tin hệ thống Windows trên Master Boot Record (một thành phần quan trọng của ổ cứng và là nơi lưu trữ thông tin phân vùng ổ đĩa), khiến máy tự khởi động lại nhiều lần nhằm trốn sự phát hiện của các công cụ phân tích virus, phần mềm độc hại. Cùng với đó, khi Master Boot Record bị lỗi sẽ khiến khả năng phục hồi dữ liệu trên ổ cứng trở nên khó khăn hơn bao giờ hết.
Master Boot Record bắt đầu với đoạn mã thực thi trước khi hệ điều hành được khởi động. Khi Master Boot Record bị Rombertik ghi đè lên, nó sẽ hiển thị lệnh "Carbon crack attempt, failed" và sau đó đưa người dùng vào một vòng lặp vô hạn để ngăn cản hệ thống tiếp tục khởi động đúng quy trình.
Dù người dùng có khởi động lại bao nhiêu lần thì màn hình vẫn hiển thị dòng chữ trên cho tới khi máy tính được cài đặt lại hệ điều hành.
Loại phần mềm độc hại mới này cũng có thể đánh lừa được cả các công cụ sandbox (cô lập ứng dụng) của các nhà nghiên cứu bằng cách viết ra một byte dữ liệu ngẫu nhiên và chuyển tới bộ nhớ hệ thống hơn 960 triệu lần liên tục.
Chuyên gia bảo mật Graham Cluley cho biết, loại phần mềm tự hủy như Rombertik là khá hiếm bởi vì phần mềm độc hại hiện nay không bao giờ muốn gây sự chú ý bởi mục tiêu chính của chúng là âm thầm "trộm" đi những thông tin quý giá của người dùng trong thời gian dài.
Rombertik được Cisco xác định có thể sẽ xuất hiện khá nhiều thông qua thư rác và tin nhắn lừa đảo được gửi đến nạn nhân, dụ dỗ người dùng tải về và giải nén các file đính kèm chứa mã độc.
Một khi được cài đặt và lây lan trên máy tính của người dùng, phần mềm độc hại Rombertik sẽ đánh cắp thông tin đăng nhập và dữ liệu cá nhân của người dùng khi truy cập vào bất kỳ website nào trước khi gửi dữ liệu này tới kẻ tấn công.
Theo các nhà nghiên cứu bảo mật tại Cisco, một loại phần mềm độc hại mới có tên Rombertik vừa bị phát hiện cho thấy chúng có thể tự phá hủy những dữ liệu quan trọng lưu trữ trong tệp tin hệ thống Windows trên Master Boot Record (một thành phần quan trọng của ổ cứng và là nơi lưu trữ thông tin phân vùng ổ đĩa), khiến máy tự khởi động lại nhiều lần nhằm trốn sự phát hiện của các công cụ phân tích virus, phần mềm độc hại. Cùng với đó, khi Master Boot Record bị lỗi sẽ khiến khả năng phục hồi dữ liệu trên ổ cứng trở nên khó khăn hơn bao giờ hết.
Master Boot Record bắt đầu với đoạn mã thực thi trước khi hệ điều hành được khởi động. Khi Master Boot Record bị Rombertik ghi đè lên, nó sẽ hiển thị lệnh "Carbon crack attempt, failed" và sau đó đưa người dùng vào một vòng lặp vô hạn để ngăn cản hệ thống tiếp tục khởi động đúng quy trình.
Dù người dùng có khởi động lại bao nhiêu lần thì màn hình vẫn hiển thị dòng chữ trên cho tới khi máy tính được cài đặt lại hệ điều hành.
Loại phần mềm độc hại mới này cũng có thể đánh lừa được cả các công cụ sandbox (cô lập ứng dụng) của các nhà nghiên cứu bằng cách viết ra một byte dữ liệu ngẫu nhiên và chuyển tới bộ nhớ hệ thống hơn 960 triệu lần liên tục.
Chuyên gia bảo mật Graham Cluley cho biết, loại phần mềm tự hủy như Rombertik là khá hiếm bởi vì phần mềm độc hại hiện nay không bao giờ muốn gây sự chú ý bởi mục tiêu chính của chúng là âm thầm "trộm" đi những thông tin quý giá của người dùng trong thời gian dài.
Rombertik được Cisco xác định có thể sẽ xuất hiện khá nhiều thông qua thư rác và tin nhắn lừa đảo được gửi đến nạn nhân, dụ dỗ người dùng tải về và giải nén các file đính kèm chứa mã độc.
Một khi được cài đặt và lây lan trên máy tính của người dùng, phần mềm độc hại Rombertik sẽ đánh cắp thông tin đăng nhập và dữ liệu cá nhân của người dùng khi truy cập vào bất kỳ website nào trước khi gửi dữ liệu này tới kẻ tấn công.
Post a Comment
+ Hiện tại HungCoder.Com đang cập nhật giao diện cho trang blog này. Nên sẽ có một số lỗi xãy ra khi các bạn xem blog này.