Mạng botnet Zeus tiếp tục thực hiện rải thảm mã độc tấn công nhiều hệ thống của người dùng qua lỗi trong tập tin Adobe PDF.
Nhiều chuyên gia bảo mật đã dự đoán trước những đợt tấn công khai thác lỗi nguy hiểm trong định dạng tài liệu Adobe PDF.
Các loại biến thể của trojan Zeus sử dụng một tài liệu PDF có nhúng mã độc tấn công và phát tán chúng trên nhiều website hay qua email đính kèm file. Khi người dùng tải về tập tin PDF này và mở ra sẽ được yêu cầu lưu lại một tập tin PDF mang tên "Royal_Mail_Delivery_Notice.pdf" nhưng thực chất đây là một chương trình sẽ thực thi để chiếm quyền điều khiển máy tính nạn nhân.
Email có đính kèm tập tin PDF đã nhúng mã độc (Ảnh: M86 Security)
Khi mở tập tin PDF đính kèm thì lại được yêu cầu lưu lại (save) một tập tin PDF khác nhưng thực chất đây là file mã độc thực thi (Ảnh: M86 Security)
Zeus cũng là mạng botnet lớn đầu tiên thực hiện khai thác lỗi nguy hiểm trong PDF. Lỗi này không xuất phát từ lỗ hổng bảo mật mà từ một tính năng do Adobe thiết kế có trong trình Adobe Reader và Acrobat.
Adobe sẽ phát hành bản vá khắc phục tính năng "tiếp tay cho giặc" này nhưng đại đa số người dùng phổ thông không có khái niệm nâng cấp lên phiên bản mới nhất hoặc sử dụng chức năng tự động cập nhật để ngăn ngừa bị tấn công.
Zeus là loại mã độc (trojan) chuyên đánh cắp thông tin nhạy cảm như tài khoản và mật khẩu đăng nhập ngân hàng trực tuyến, thanh toán trực tuyến... khi thâm nhập vào máy tính của nạn nhân. Chúng không có nhiều hoạt động trên máy tính nạn nhân như các loại trojan khác, thay vào đó, Zeus âm thầm ghi nhận các thao tác đăng nhập tài khoản tài chính trực tuyến và ngay lập tức gửi về cho "chủ nhân" từ xa. Các máy tính bị Zeus điều khiển trở thành "máy tính ma" (zombie) chịu sự điều khiển của tin tặc sở hữu Zeus. Các máy tính ma này tạo ra mạng botnet Zeus với số lượng lên đến 3,6 triệu "máy tính ma" chỉ tính riêng tại Mỹ, theo số liệu của Trusteer công bố vào tháng 9-2009. |
Nâng cấp Adobe Reader và ngăn chặn Zeus
Bạn đọc nên tải ngay phiên bản Adobe Reader 9.3.2 hay tắt tính năng /Launch có thể gây nguy hiểm trong Adobe Reader và Adobe Acrobat bằng cách vào Edit -> Preferences -> Categories -> Trust Manager -> PDF File Attachments, bỏ chọn phần "Allow opening of non-PDF file attachments with external applications".
Nếu đang sử dụng Foxit Reader thay cho Adobe Reader thì bạn cũng cần cài đặt phiên bản mới nhất vì Foxit Reader cũng bị đe dọa bởi cách thức khai thác này.
Cần cập nhật cơ sở dữ liệu (chữ ký) virus mới nhất cho chương trình bảo mật đã cài đặt trên máy tính rồi tiến hành quét toàn bộ hệ thống. Nếu chưa cài đặt bất cứ chương trình nào, có thể tham khảo các trình diệt virus miễn phí sau: AVG Antivirus, Avira AntiVir Personal, avast! antivirus Home Edition, Microsoft Security Essentials. Tham khảo thêm tiện ích miễn phí Zeus Trojan Remover của novirusThanks.