Biến thể Srv.SSA-KeyLogger – 2 trong 1

Sunbelt Software - một hãng bảo mật chuyên chống phần mềm gián điệp của Mỹ - cuối tuần trước cho biết hãng này vừa mới phát hiện ra một biến thể mới của Srv.SSA-KeyLogger chuyên ăn cắp thông tin nhạy cảm người sử dụng.

Việc phát hiện ra chủng loại keylogger đối với Sunbelt Software cũng là một sự tình cờ khi một chuyên gia nghiên cứu của hãng phát hiện ra một máy chủ chứa một khối lượng rất lớn tên đăng nhập, mật khẩu, số điện thoại, thông tin thẻ tín dụng, số tài khoản ngân hàng cũng như rất nhiều thông tin cá nhân khác.

Tất cả những thông tin này đều được thu thập bởi bàn tay của một loại keylogger - biến thể Srv.SSA-KeyLogger. Đây là loại keylogger có khả năng thu thập các loại thông tin như thông tin đăng nhập tài khoản ngân hàng trực tuyến, tài khoản eBay, PayPal… hay thông tin từ các ứng dụng sử dụng các form HTML để lấy thông tin

Eric Sites, phó chủ tịch phụ trách R&D của Sunbelt, cho biết do được “kế thừa” nền tảng của dòng trojan Dumador/Nibu, Srv.SSA-KeyLogger đã trở nên đặc biệt nguy hiểm. Một khi đã nhiễm vào máy tính của người sử dụng SSA-KeyLogger “không chịu ngồi yên” chờ đến khi người sử dụng gõ mật khẩu vào để ghi lại và gửi đi. Thay vào đó loại keylogger này đột nhập thẳng vào Khu vực lưu trữ được bảo vệ (Protected Storage) của IE để ăn cắp thông tin.

Protected Storage về thực chất là một tập hợp các khoá registry được dùng để lưu trữ tên đăng nhập và mật khẩu. Nếu bật tính năng AutoComplete trong Internet Explorer - mặc định là luôn luôn bật – trình duyệt sẽ ghi nhớ các tên đăng nhập và mật khẩu và ghi vào Protected Storage. Cho dù những thông tin này đã được mã hoá những chỉ cần dùng một ứng dụng đơn giản cũng có thể giải mã những thông tin này.

Nguy hiểm hơn nữa, loại keylogger còn có thể đột nhập vào trong clipboard của Windows để lấy thông tin, vô hiệu hoá tường lửa của Windows hay của một hãng thứ 3 khác. Các loại tường lửa đều bị loại keylogger này dễ dàng qua mặt do chúng đã không khéo giả dạng mình thành một thread Internet Explorer.

Hãng bảo mật Sunbelt đã công bố thông tin về loại keylogger mới này với các hãng bảo mật khác.

Đồng thời trong thời gian này hãng đã phát triển thành công một loại công cụ giúp quét và diệt loại keylogger mới và đầy nguy hiểm này. Người sử dụng có thể tải về công cụ này
tại đây.

Sunbelt cũng khuyến cáo người sử dụng nên tắt tính năng AutoComplete để phòng chống mọi loại keylogger có thể lây nhiễm vào máy tính. Để tắt tính năng này thì trong cửa sổ Internet Explorer hãy vào Tool | Internet Options rồi chuyển sang mục Content và chọn AutoComplete. Trong cửa sổ AutoComplete bạn bỏ hết mọi đánh dấu đối với mục Use AutoComplete For và chọn Clear Forms và Clear Password trong mục Clear AutoComplete history.

Keylogger là một chương trình - nếu được cài đặt lên một máy tính - sẽ cho phép ghi lại mọi thao tác của người sử dụng trên bàn phím vào một tệp tin đã được quy định từ trước. Loại phần mềm này nguy hiểm do đã bị tin tặc lợi dụng để ăn cắp thông tin hay theo dõi người sử dụng.

Thứ Bảy, 13/08/2005 09:04
31 👨 214
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp