Một chương trình Trojan mới lẩn trốn khéo đến mức nhiều chuyên gia bảo mật đã phải gọi đây là "một chương mới" trong cuộc chiến chống lại malware.
Với tên gọi Rustock (theo Symantec) hoặc Mailbot.AZ (theo F-Secure), Trojan này sử dụng các kỹ thuật rootkit tinh vi để lẩn tránh các công nghệ rà quét bảo mật đang được sử dụng hiện nay.
"Có thể coi nó là đại diện đầu tiên của một thế hệ rootkit mới", chuyên gia Alia Florio của Symantec nhận định. "Rustock.A là sự kết hợp khôn ngoan giữa kỹ thuật cũ với ý tưởng mới - nhờ đó, nó có thể ung dung đứng ngoài vùng phủ sóng của nhiều phần mềm phát hiện rootkit".
Nguồn: CNET |
Trong trường hợp Rustock/Mailbot.AZ, công nghệ rootkit đã được vận dụng để che giấu cho một Trojan. Trojan này sẽ mở toang cửa hậu của máy tính bị nhiễm, tạo điều kiện cho hacker tấn công, đột nhập.
Trong cuộc chạy đua không mệt mỏi với các hãng bảo mật, có vẻ như tác giả của Rustock đã nghiên cứu rất kỹ cơ cấu hoạt động bên trong của các công cụ diệt rootkit.
"Các hãng bảo mật luôn có chạy trước kẻ xấu, nhưng kẻ xấu thì lại có trong tay sản phẩm của họ. Chúng có thể mổ xẻ và tìm ra điểm yếu của những sản phẩm đó, kết hợp với một số kỹ thuật tinh vi để gia cố cho rootkit của mình", Craig Schmugar, phó chủ tịch nghiên cứu virus của McAfee nhận định.
Nhờ sử dụng cùng lúc nhiều phương pháp cloaking, Rustock gần như "vô hình" bên trong hệ thống bị nhiễm, kể cả những máy tính có cài đặt Windows Vista bản thử nghiệm.
Để tránh bị phát hiện, Rustock không chạy bất cứ process nào. Thay vào đó, nó kích hoạt đoạn mã bên trong driver và các luồng nhân (kernel).
Ngoài ra, Rustock cũng không sử dụng các file ẩn, tránh kích hoạt những giao diện chương trình ứng dụng (API). Đây vốn là những đầu mối chủ lực để các công cụ quét rootkit dựa vào trong quá trình phát hiện rootkit.
Tuy nhiên, khả năng người dùng bị rootkit cùng Trojan này tấn công là không nhiều. Mặc dù vậy, giới bảo mật vẫn xôn xao, bởi nó đại diện cho một hiểm họa đang ngấp nghé góc đường.
Thiên Ý