• Thứ Sáu, 18/05/2012 11:14 (GMT+7)

    Mac OS X hết thời “bình yên”?

    Linh Nguyễn
    Hàng trăm ngàn chiếc máy tính sử dụng hệ điều hành OS X bị lây nhiễm một loại phần mềm gây hại mang tên Flashback dù chưa thực sự gây ra rắc rối lớn về mặt kĩ thuật so với những gì mà Windows lâu nay hứng chịu, nhưng đây rõ ràng là lời cảnh báo đầu tiên cho thấy người dùng Mac không còn được xem là miễn nhiễm với các loại virus, phần mềm độc hại.

    Khi người dùng quá chủ quan

    Khi thị phần máy Mac tăng lên đáng kể, rõ ràng đây sẽ là môi trường bị các hacker hay chuyên gia viết virus/mã độc hướng tới. Nhận định này mới đây đã được chứng minh thực tế khi một loại Trojan mang tên Flashback lây lan tới hơn 600.000 hệ thống khác nhau. Theo Dr. Web – công ty chuyên về virus máy tính của Nga cho biết, một điều thú vị rằng phần lớn lý do đều là bởi người dùng vô tình cài phần mềm có chứa Flashback vào máy chứ không phải do bị lây một cách tự động như đối với môi trường Windows.

    Khi lây nhiễm vào Mac OS X, Flashback sẽ thu thập mật khẩu và các thông tin của người dùng thông qua trình duyệt và các ứng dụng web khác như Skype. Thực tế, nhiều người dùng đã nhầm trojan này với những plugin của trình duyệt và nghiễm nhiên cho phép nó tự cài đặt vào hệ thống. Khi đó, nó sẽ lấy cắp thông tin và gửi về các máy chủ thu thập định sẵn. Phiên bản mới nhất của Flashback thậm chí có thể tự ẩn mình trong quá trình cài đặt khiến người dùng không hề hay biết.

    Tuy nhiên, nếu chỉ đơn giản như vậy, Flashback sẽ khó đạt được “thành tích” lây nhiễm số lượng lớn trong thời gian ngắn. Bản thân tác giả của trojan này đã khéo léo tận dụng một đặc điểm của Apple để dụ người dùng. Cụ thể hơn, do Apple không xuất xưởng các máy Mac được cài sẵn Adobe Flash mà yêu cầu người dùng tự cài vào nếu có nhu cầu nên tác vụ này gần như bắt buộc đối với mọi hệ thống Mac nếu chủ nhân máy muốn có những trải nghiệm web hoàn hảo. Với thực tế này, dĩ nhiên khi Flashback giả dạng chính… bộ cài Adobe Flash, nó sẽ lọt vào máy một cách đường đường chính chính – đặc biệt là khi người dùng nhấn đồng ý cho câu hỏi có cài plugin Flash (giả mạo) của trình duyệt hay không.

    Hơn thế nữa, phiên bản Flashback mới sử dụng Java còn có khả năng tự cài khi người dùng ghé thăm các trang web bẫy mà họ không hề hay biết. Tuy nhiên, hiện tại Apple đã vá các lỗ hổng dẫn tới hành vi này.

    Bộ cài giả mạo Adobe Flash - bẫy lây nhiễm Flashback đặc biệt hiệu quả !

    Làm sao để xử lý đoạn mã hại

    Trước tiên, để biết được liệu máy của mình có bị nhiễm Flashback hay không, bạn có thể tải công cụ nhận diện và gỡ bỏ Flashback từ trang web của F-Secure (hoặc tải trực tiếp từ: http://download.cnet.com/Flashback-Removal-Tool/3000-2239_4-75700492.html ). Khi chạy tiện ích này, nó sẽ thông báo cho bạn nếu có sự hiện diện của Flashback. Trong trường hợp phát hiện ra trojan này, Flashback Removal Tool sẽ “đóng gói” nó vào một tập tin ZIP và cho bạn lựa chọn gửi tới các hãng bảo mật hoặc đơn thuần là xoá nó đi.

    Nếu bạn không muốn sử dụng công cụ mà chỉ muốn kiểm tra nhanh trên hệ thống. Bạn có thể sử dụng tập lệnh như sau trong Terminal.

    defaults read /Applications/Safari.app/Contents/Info LSEnvironment
    defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
    defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

    Nếu như máy “sạch”, kết quả trả về sẽ là lỗi thông báo không tồn tại. Ngược lại, kết quả sẽ bao gồm đường dẫn tới nơi mà Flashback ẩn mình trên máy. Trong tình huống này, bạn sẽ vẫn phải sử dụng công cụ như của F-Secure để gỡ bỏ một cách nhanh chóng nhất.

    Trong khi đó, về phía mình, Apple cũng nhanh chóng đưa ra bản vá để khắc phục các lỗ hổng cho phép Flashback hoành hành. Người dùng có thể tải xuống các gói tương ứng cho Mac OS X 10.6 tại: http://support.apple.com/kb/DL1516 và 10.7 tại:
    http://support.apple.com/kb/DL1515. Sau khi cài xong, phiên bản Java 1.6.0 trong Mac OS X sẽ phải có số hiệu 31. Để kiểm tra số hiệu này, bạn có thể mở Terminal và chạy dòng lệnh: “java –version”. Bên cạnh bản cập nhật này, Apple cũng mới công bố sẽ sớm cho ra công cụ riêng nhằm khắc phục Flashback.

    Trên trang web của mình, hãng cho biết: “Chúng tôi cũng đang hợp tác với các nhà cung cấp dịch vụ Internet trên toàn cầu để vô hiệu hóa các tập lệnh của Flashback cũng như những mạng kết nối có liên quan”. Tuy nhiên vào thời điểm hiện tại, những giải pháp từ những nhà sản xuất thứ ba như F-Secure là lựa chọn hợp lý mà người dùng có thể tin cậy.

    Flashback - Chỉ là sự khởi đầu?

    Kể từ khi xuất hiện, Flashback đã có một vài biến thể khác nhau. Phiên bản lợi dụng Java như đề cập ở trên được công ty Intego đặt tên Flashback.S. Nó có ưu thế hơn đàn anh là không bị vướng mật khẩu quản trị khi tiến hành cài đặt vào hệ thống. Tuy nhiên, những người dùng đã tải bản vá Java từ Apple về vẫn tạm có thể yên tâm với Flashback.S vào lúc này. Mặc dù vậy, mối lo ngại không dừng ở đó. Bản thân các tác giả của Flashback cũng tuyên bố sẽ không ngừng đưa ra các phiên bản mới.

    Số máy Mac nhiễm Flashback do Synmantec thống kê.

    Trong khi đó, theo các số liệu từ nhiều công ty bảo mật khác nhau, nhờ nhiều nỗ lực khắc phục từ cả họ và Apple, số lượng máy tính Mac nhiễm Flashback hiện đã giảm mạnh xuống dưới mức 100.000 máy. Kết quả tuy khả quan nhưng vẫn chưa hoàn toàn triệt để. Ngoài các biến thể mới, một lý do khác cho phép Flashback tồn tại chính là sự chủ quan của các người dùng sở hữu tường lửa hoặc trình diệt virus. Tuy nhiên, các đoạn mã của Flashback.S cho thấy rằng nó vẫn “vuốt mặt nể mũi” khi “ngó nghiêng” những công cụ bảo mật thông dụng như VirusBarrier X6 hay Little Snitch trước khi tự cài đặt vào máy. Bản thân những tường lửa hiệu quả như Little Snitch cũng cho phép chặn Flashback không gửi thông tin đi một khi nó đã xâm nhập thành công vào hệ thống.

    Flashback dù đã bắt đầu gây hại và bị dập tắt tương đối nhanh nhưng rõ ràng nó chỉ là sự khởi đầu. Khi những chiếc máy tính Mac xuất hiện ngày càng nhiều, các mối hiểm họa đối với người dùng cũng sẽ tăng theo tương ứng. Liệu điều gì sẽ xảy ra khi có hàng trăm, hàng ngàn loại phần mềm độc hại khác đến từ vô số các nguồn khác nhau? Cho dù, vào lúc này, người dùng Mac vẫn được an toàn nhưng tương lai là điều khó có thể nói trước. Chính vì vậy, ngay từ bây giờ, người dùng tốt nhất nên thận trọng khi cài các phần mềm mới. Nếu phải tải về các ứng dụng, bạn nên chọn những nguồn tải đáng tin cậy.

    ID: A1205_90