Malware “trườn” để lẩn trốn hàng rào bảo vệ

Một chương trình Trojan horse đã được thiết kế để gây tổn thương các máy sử dụng hệ thống file mã hoá của Microsoft Windows. Trojan này sẽ “trườn” vào payload của hệ thống và lẩn trốn chương trình bảo vệ - theo cảnh báo của một nhà nghiên cứu ở hãng bảo mật McAfee trong tuần qua.

Chức năng tấn công của Trojan này gồm hai phần: một dialer gọi là Qdial-45 và một downloader mã hoá gọi là Spy-Agen.bf. Dialer ngắt các kết nối modem hiện tại, sau đó quay số một dịch vụ để thể hiện nội dung. Bộ downloader sử dụng hệ thống file mã hoá (EFS - Encrypted File System) để tự mã hoá và lấy nội dung cập nhật trong danh sách các website trên Internet.

“Trojan này tạo ra một tài khoản đăng nhập kiểu administrator với tên và mật khẩu ngẫu nhiên. Sử dụng cặp khoá đăng nhập này có thể mã hoá thành phần downloader nó thả vào. Sau đó tạo ra một dịch vụ ngẫu nhiên trỏ tới file mã hoá với các thuộc tính đăng nhập login và password được tạo mới”.

Đây là chương trình độc hại mới nhất sử dụng cơ chế mã hoá để tự ẩn mình trước các phần mềm bảo mật của máy để bàn (như các chương trình diệt virus). Tháng trước hãng bảo mật Synmatec, hãng sở hữu SecurityFocus cũng đã cảnh báo về một virus có thể dùng cơ chế mã hoá và một chức năng nào đó của hệ điều hành để tự ẩn thân. Các mã độc hại khác, được biết đến như là các ransomware sử dụng cơ chế mã hoá để “trườn” vào hệ thống file và cướp đoạt quyền điều khiển file trong máy nạn nhân. Những kẻ phát tán Trojan này chỉ đưa ra khoá giải mã các file bị chiếm đoạt khi người dùng trả cho chúng một khoản phí nhất định.