• Thứ Hai, 27/07/2009 09:15 (GMT+7)

    Liên minh mã độc

    Tình hình bảo mật đã khó khăn càng khó khăn thêm. Tội phạm trên mạng có thể liên kết các botnet lại với nhau để tạo thành “botnetweb” gây khó khăn cho các chương trình chống virus.

    Botnetweb không chỉ cho phép bọn tội phạm thực hiện gửi thư rác hay mã độc tới hàng triệu PC mà còn làm cho PC lây nhiễm trở lại một cách nhanh chóng bằng cách lây nhiễm nhiều file. Nếu bị chương trình chống virus loại bỏ một vài file nào đó, những file còn lại sẽ tải lại file “xấu” về máy người dùng.

    Ông Atif Mushtaq ở FireEye, công ty đã đặt ra từ “botnetweb”, nói về tội phạm dạng này như sau: “họ không phải là những kẻ lập dị ngồi trong bóng đêm, tạo ra các botnet để thỏa mãn sở thích”. “Họ hành động có tổ chức, vận  hành botnetweb một cách tinh vi”.

    “Đoàn kết”

    Trước đây, tin tặc ganh đua với nhau theo hình thức phát hiện và loại bỏ mã lệnh của đối thủ khỏi máy tính. Tương tự Conficker gần đây, sau khi khai thác máy tính có lỗ hổng, nó đã tạo một “vành đai” hòng ngăn chặn sự tấn công từ các loại mã độc khác. 

    Tuy nhiên, công ty FireEye đã tìm ra chứng cứ cho thấy hiện tại có sự hợp tác chứ không phải cạnh tranh giữa các “đại gia” botnet phát tán thư rác, tạo nên một sự thay đổi lớn trong cách mã độc hành động. Các tổ chức tội phạm trang bị hệ thống máy chủ dùng để ra lệnh và điều khiển botnet (Command and Control - C&C), botnet sẽ chuyển tiếp thư rác, file mã độc bổ sung tới PC người dùng.

    Ví dụ như các botnet Pushdo, Rustock và Srizbi, đã từng cạnh tranh với nhau, có máy chủ C&C ở ngay trên mỗi botnet, máy chủ và botnet nằm cùng dãy địa chỉ IP. Nếu “chia cắt” chúng ra, sức mạnh cũng giảm đi.

    Botnetweb: sức mạnh của hàng triệu PC

    Theo báo cáo của công ty Finjan, một công ty thiết bị bảo mật, cho thấy nhiều bằng chứng mày chủ C&C có khả năng gửi malware, thư rác và kiểm soát đến 1.9 triệu PC.

    Các máy chủ C&C có 6 tài khoản quản trị cao nhất, cộng với hàng loạt phần mềm dùng để “đánh bắt” PC. Orphir Shalitin, giám đốc tiếp thị của Finjan cho rằng không biết trước được mã độc nào sẽ lây nhiễm PC hay quan trọng hơn là mã độc nào lây nhiễm đầu tiên. Ngoài ra, công ty còn truy ra được địa chỉ máy chủ C&C đặt tại Ukraina và có bằng chứng cho thấy botnet cho thuê giá từ 100 đến 1000USD/ngày.

    Theo Alex Lanstein, nhà nghiên cứu cao cấp của FireEye, mô hình botnet phân tán tạo ra nhiều lợi thế cho tội phạm. Nếu luật ép buộc hay công ty bảo mật ngăn chặn máy chủ C&C đơn lẻ nào đó, thì bọn chúng vẫn tiếp tục “kiếm ăn” từ các botnet đang sống khác.

    Theo Lanstein, những botnet như thế tạo ra từ các chiến dịch “thả” mã độc của tin tặc, chúng che đậy bề ngoài bằng sự “mộc mặc”, không chứa mã lệnh lạ hay không gây “chú ý” tới phần mềm chống virus. Một khi đã thả mã độc thành công vào PC (thường qua đường download hay đính kèm email) Trojan sẽ có mặt tiếp theo. Ví dụ như biến thể của Hexzone, kiểm tra bằng dịch vụ VirusTotal (www.virustotal.com) chỉ có 4/39 cơ chế chống virus phát hiện được.

    Chiến thuật bảo vệ PC

    Hiện tại, mã độc thường là dạng tổ hợp, điều này đã làm khó khăn cho các phần mềm chống virus muốn tìm và diệt chúng.

    Quan sát RogueRemover, một phần mềm gỡ bỏ mã độc của Malwarebyte, diệt Trojan Zeus. Lanstein nói:”Rogue Remover chỉ cô lập được một số file. Sau vài phút, những file còn sót lại liên lạc với máy chủ C&C, nhanh chóng tải trở về các file vừa mất”.

    Randy Abrams, giám đốc đào tạo kỹ thuật hãng phần mềm Eset nhận xét: “cách dùng công cụ virus quét thuần túy chỉ làm giảm nhẹ đi vấn đề”.

    Cả Abrams, Lanstein và các chuyên gia bảo mật khác nhấn mạnh rằng nếu phần mềm chống virus của bạn đã “gỡ bỏ” lây nhiễm trên các file, thì bạn nên hiểu rằng mã độc có thể vẫn đang tồn tại. Bạn có thể thử tải về và chạy các công cụ bổ sung như RogueRemover (find.pcworld.com/63051), HijackThis (find.pcworld.com/63/053), hay SysInspector của Eset giúp phân tích PC và tạo log để bạn có thể đang tải lên Bleep Compute (www.bleepingcomputer.com), nơi có nhiều người tình nguyện chia sẻ kinh nghiệm.

    Trước hết hãy chắc chắn rằng PC của bạn không bị lây nhiễm. Cài đặt các bản cập nhật để bít các lỗi có thể khai thác từ xa, chẳng hạn như lỗi trong ứng dụng Adobe Reader xảy ra trong thời gian vừa rồi. Để tránh nhiễm mã độc từ email, đừng mở hay tải về bất cứ file nào mà không chắc nó an toàn. Sử dụng dịch vụ VirusTotal để kiểm tra một file trước khi sử dụng, nó miễn phí và nhiều chuyên gia tin tưởng.

     Hải Phạm

    ID: O0907_2