Keylogger đời mới chuyên ăn cắp password từ IE

Công ty bảo mật Sunbelt Software đã cảnh báo về sự hoành hành của một chương trình Keylloger đời mới chuyên thu thập mọi thông tin từ bàn phím người lướt web, đặc biệt là từ Internet Explorer.

Các chuyên gia bảo mật của Sunbelt Software đã “bắt” được một file trong đó chứa một số lượng rất lớn tên người dùng, mật mã truy cập, số điện thoại, số thẻ tín dụng, tên tài khoản ngân hàng và nhiều thông tin cá nhân “nguy hiểm” khác.

Tất cả thông tin trên đều được thu thập bởi một chương trình keylogger đời mới, có kích thước nhỏ, hoạt động khá bí mật và tài tình.

Chương trình thu thập thông tin bàn phím này mang tên Srv.SSA-KeyLogger, chuyên ăn cắp dữ liệu từ các phiên lướt web của người dùng, cũng như thông tin từ các chương trình tương thích với các hình thức HTML. Srv.SSA-KeyLogger đặc biệt “ưa thích” các thông tin giao dịch tài chính online từ eBay, PayPal và các ngân hàng.

Eric Sites, phó chủ tịch phó chủ tịch nghiên cứu và phát triển của Sunbelt cho rằng Srv.SSA-KeyLogger liên quan đến họ trojan Dumador/Nibu. Nó không chịu thụ động ngồi một chỗ để ghi nhận lại username và password mà người dùng gõ vào để ghi nhận lại, mà nó còn biết cách khai thác dữ liệu từ các khu vực chứa dữ liệu của Internet Explorer, đặc biệt là từ Protected Storage của Internet Explorer.

Protected Storage thường là một khối từ khóa registry chuyên dùng để nhớ usernames và passwords mà người dùng gõ vào. Khi tính năng AutoComplete của Internet Explorer được bật (thường là mặc định) thì trình duyệt này sẽ ghi nhận lại các thông tin này và lưu lại trong Protected Storage. Mặc dù các thông tin này được mã hóa nhưng Srv.SSA-KeyLogger có thể dễ dàng bẻ khóa để ăn cắp thông tin.

Srv.SSA-KeyLogger cũng có thể dễ dàng ghi nhận lại mọi thứ được lưu trong Windows clipboard, có khả năng tắt luôn Windows firewall và một số ứng dụng tường lửa của các hãng khác. Srv.SSA-KeyLogger vận hành y hệt như một chuỗi lệnh của Internet Explorer nên mọi ứng dụng tường lửa hầu như không thể nhận diện được nó.

Sunbelt khuyên người dùng nên tắt ngay tính năng AutoComplete của Internet Explorer để hạn chế sự hoành hành của Srv.SSA-KeyLogger. Người dùng nên vào Option của Internet Explorer, sau đó vào mục Internet Option -> Content -> AutoComplete -> bỏ dấu check khỏi mục “User names and passwords on forms” và nhấn OK.

Các trình duyệt khác như Firefox, Mozilla, Opera, Netscape không sử dụng tính năng tương tự như Protected Storage nên tỏ ra an toàn hơn trước trình keylloger thâm hiểm này.

Người dùng có thể vào đây để tải công cụ chống lại Srv.SSA-KeyLogger do Sunbelt thiết kế về dùng.

HOÀNG HẢI (Theo TechWeb News)