• Thứ Tư, 06/05/2009 17:57 (GMT+7)

    Rootkit trộm tài khoản ngân hàng thêm biến thể mới

    Ngày 6/5/2009, CMC InfoSec đưa ra cảnh báo Rootkit với tên gọi MaOSRootkit đã quay trở lại với một loạt biến thể mới và đang lây nhiễm nhanh đến mạng máy tính ở Việt Nam.

    MaOSRootkit được phát hiện bởi CMC CodeWalker
    MaOSRootkit (hay còn gọi là Mebroot) là 1 loại rootkit đặc biệt, lây nhiễm rất sâu vào hệ thống, ở mức Master Boot Record (MBR) – sector đầu tiên trên ổ cứng của hệ thống. MaOSRootkit sẽ chỉnh sửa hệ thống ngay sau khi hệ điều hành được khởi động, đồng thời tác động vào các thành phần trọng yếu của hệ thống để đánh lừa các phần mềm diệt virus. Kỹ thuật này khiến cho hầu hết các phần mềm diệt virus không thể thấy được sự hoạt động của nó, và đương nhiên nó trở thành “vô hình” với các phần mềm bảo mật, kể cả các tường lửa cá nhân như Zone Alarm, KIS, Outpost…

     

    “Nhờ khả năng này, MaOSRootkit đã lây nhiễm khoảng 180.000 máy với 1,2 triệu IP trên thế giới và Mỹ là nước có mức độ lây nhiễm mạnh nhất”, ông Nguyễn Phố Sơn, tác giả CMC CodeWalker tiết lộ.

     

    MaOSRootkit có khả năng lây nhiễm và hoạt động ổn định trên tất cả các HĐH Windows đặc biệt là Windows XP. Theo đánh giá của các chuyên gia thì rootkit này được viết rất chuyên nghiệp, tính ổn định cao và ăn rất sâu vào hệ thống. Bản thân loại mã độc này có khả năng tương tác và thực hiện các tác vụ như gửi thông tin ra bên ngoài, download file v.v...  mà không cần thông qua các dịch vụ của HĐH. Một khi MaOSRootkit nhiễm vào hệ thống, chúng bắt đầu đánh cắp thông tin. MaOSRootkit được ví như là "Hệ điều hành Malware (Malware OS) chạy bên trong hệ điều hành Windows".

     

    Mục tiêu chính của MaOSRootkit nhắm tới chính là các tài khoản cá nhân ở ngân hàng, đồng thời biến các máy tính nạn nhân thành zombie trong mạng botnet và hacker nắm toàn quyền đối với máy bị nhiễm. “Đã có hàng nghìn website được dựng lên để phát tán loại mã độc nguy hiểm này. Ngoài ra, rất nhiều loại sâu máy tính khác được thiết lập để tải rootkit này về máy của người dùng” – ông Sơn cho biết thêm.

     

    Theo ông Sơn, CMC CodeWalker (hoạt động độc lập hoặc tích hợp sẵn trong phần mềm CMC Antivirus hoặc CMC Internet Security) phiên bản mới đã có thể phát hiện những biến thể mới nói trên. Công cụ này sẽ phát hiện sự lây nhiễm cũng như hoạt động của chúng và thông báo tới người dùng. 

     

    Song song với việc cập nhật tính năng nhận diện MaOSRootkit, CMC InfoSec cho biết đã cập nhật bản vá bất thường nhằm khắc phục hiện tượng phần mềm diệt virus KIS 2009 và Avira (phiên bản mới nhất) coi phần mềm CMC Antivirus là Backdoor. Để CMC Antivirus được cập nhật thành công, người dùng cần tắt chế độ bảo vệ thời gian thực của KIS 2009 và Avira trong khi cập nhật CMC Antivirus.

     

    Minh Đức

    ID: O0905_1