• Thứ Bảy, 17/04/2010 14:35 (GMT+7)

    Thấy lỗi trong các tập tin lưu trữ

    Bạch Đình Vinh
    Các nhà nghiên cứu đã tìm thấy nhiều cách giấu malware trong các định dạng lưu trữ thường được sử dụng mãi đến gần đây mới bị các chương trình chống virus phát hiện.

    Hầu hết các nhà sản xuất chống virus đã vá ứng dụng của họ để tìm ra những định dạng tập tin (file) lưu trữ bị “quấy nhiễu” (chẳng hạn như ".rar", ".zip"), ông Tomislav Pericin, người sáng lập dự án bảo vệ phần mềm thương mại RLPack cho biết.

    Hôm 15/4/2010, ông Perison đã trình bày tại hội nghị bảo mật Black Hat cùng với nhà nghiên cứu bảo mật độc lập Mario Vuksan và Giám đốc điều hành (COO) Brian Karney của AccessData. Ba nhà nghiên cứu cho thấy cách làm xáo trộn các định dạng lưu trữ và chèn mã độc (như sâu Conficker), sau đó sẽ thực thi trên máy tính của nạn nhân.

    Nhiều công ty sử dụng các sản phẩm bảo mật "cửa ngõ" (gateway) để phân tích xem, liệu file đính kèm có phải là file “độc” không. Tin tặc đã phát hiện ra rằng, đôi khi các file độc hại nén có thể “qua mặt” nhiều sản phẩm bảo mật (mặc dù giờ đây những sản phẩm này đã tốt hơn ở loại phát hiện đó). Sau khi “lẻn” được vào mạng của doanh nghiệp, nếu người dùng đầu cuối mở file đính kèm có thể cho phép tin tặc truy cập từ xa vào máy tính.

    Đa phần người dùng cuối chạy phần mềm chống virus, do đó phần mềm độc hại (malware) có khả năng thực thi như Conficker sẽ bị phát hiện khi nó chạy. Nhưng các nhà nghiên cứu đã tìm thấy ít nhất 8 lỗ hổng (đã được vá) và 30 lỗ hổng bảo mật tiềm năng khác (chưa được vá) trong những sản phẩm bảo mật này, khiến sản phẩm bảo mật không bắt được các tập tin xấu.

    Các nhà nghiên cứu đã tung ra công cụ mã nguồn mở, miễn phí NyxEngine có thể phát hiện ra cả malware và nội dung ẩn trong các định dạng lưu trữ. NyxEngine tiền xử lý (preprocesses) các định dạng lưu trữ, phá vỡ và kiểm tra xem có những gì bên trong. Nó hỗ trợ các định dạng ".zip," ".rar," ".gz" và ".cab".

    Từ khóa: định dạng
    Nguồn: IDG News Service, 15/4/2010