Video trở thành công cụ của mã độc

Ngày 14/11, hãng bảo mật McAfee thông báo đã phát hiện được con sâu máy tính W32/Realor chuyên lây nhiễm và ẩn mình trong các tệp tin video chuẩn định dạng Real Media. Bằng cách nhúng hoặc liên kết mã độc vào các tệp tin video, tin tặc đã có một công cụ mới để tấn công người dùng.

Con sâu này không trực triếp chứa các mã độc tấn công lỗi bảo mật trong RealOne hoặc Real Player mà thay vào đó chúng chứa một đường liên kết đến một trang web độc có chứa các mã độc tấn công một lỗi bảo mật trong trình duyệt Internet Explorer. Nếu người dùng mở tệp tin này ra họ sẽ ngay lập tức được dẫn đến trang web đó. Nếu PC của người dùng chưa được cài đặt các bản vá hệ thống của họ sẽ rơi vào tay tin tặc.

Craig Schmugar - Chuyên gia nghiên cứu bảo mật cao cấp của McAfee - cho biết sử dụng tệp tin video để phát tán mã độc là tương đối khó khăn nhưng tỉ lệ thành công lại cao hơn rất nhiều. "Phần lớn người dùng đều xem các tệp tin video là an toàn".

Ngày càng được chú ý

Hiện con sâu W32/Realor chưa phát tán rộng rãi cho lắm nhưng sự kiện này lại xảy ra trùng ngày với việc Microsoft phát hành bản vá lỗi ứng dụng Adobe Flash Player - một phần mềm thường được sử dụng để xem video trực tuyến.

Trước đó một tuần, người dùng mạng xã hội MySpace phải đối mặt với một vụ tấn công bằng tệp tin video. Trong đó, tin tặc cũng sử dụng một đường liên kết nhúng sẵn trong tệp tin video để cài đặt một adware lên hệ thống của người dùng.

Điều này khiến sự chú ý đối với vấn đề này càng tăng mạnh hơn. Các chuyên gia nghiên cứu bảo mật đã bắt đầu chú ý đến các tệp tin video trong thời gian qua. Trong năm nay, đã có tổng cộng 19 lỗi bảo mật trung bình và cực kỳ nguy hiểm trong Apple QuickTime Player, 2 lỗi trong RealOne và Real Player, 2 lỗi trong Windows Media Player và 3 lỗi trong Adobe Flash Player được phát hiện.

Bên cạnh đó, cũng đã có không ít các vụ tấn công có lợi dụng các tệp tin video. Tuy nhiên, phần lớn trong số đó tệp tin video chỉ đóng vai trò là mồi nhử dẫn dắt. Ví dụ, con sâu máy tính Kama Sutra hoặc Blackmal đã sử dụng chiêu bài lừa nạn nhân mở một tệp tin giả mạo là tệp tin video. Hay như Apple đã vô tinh bán ra những sản phẩm iPods có chứa một con virus Windows.

Trong khi đó, sự phổ biến của các trang web cho xem hoặc tải video trực tuyến như YouTube đã ngày càng thu hút sự chu ý của tin tặc đối với loại hình tấn công mới này.

"Tôi cho rằng mục tiêu chính của phần mềm độc hại là số lượng đông người dùng," Val Smith - đồng sáng lập OffensiveComputing.net - nói. "Vì thế mà YouTube sẽ có thể là mục tiêu của tin tặc một khi những công cụ chế tạo phần mềm độc hại đính kèm tệp tin video trở nên đơn giản hơn và phổ biến hơn."

Hạn chế

Điểm hạn chế khiến cho tình trạng sử dụng tệp tin video để phát tán phần mềm độc hại chưa được phổ biến bởi dung lượng của các tệp tin như thế này đôi khi còn tương đối lớn. Ví dụ một tệp tin video 30 giây đã có dung lượng lớn 2MB đến 3MB. Điều này đã làm giảm mức độ hấp dẫn của phương thức tấn công ngày.

"Tôi cho rằng cơ hội người dùng mở các tệp tin video là rất lớn nhưng việc phát tán những tệp tin như thế là khá khó khăn bởi dung lượng của chúng khá lớn," ông Smith nhận định. "Trong khi đó, tác giả những phần mềm độc hại lại thường thích cái gì đó nhẹ nhàng hơn".

Một nguyên nhân nữa khiến cho tấn công bằng tệp tin video chưa hấp dẫn tin tặc bởi chưa có một chuẩn tệp tin video tương thích với đa loại phần mềm. Tin tặc chỉ có thể tấn công một đối tượng người dùng một loại phần mềm độc lập. Trong số 40.000 phần mềm độc hại nằm trong cơ sở dữ liệu của OffensiveComputing.net hầu như không có phần mềm nào dùng video để tấn công.

Không những khó sử dụng tấn công mà bản thân các tệp tin video cũng rất dễ được tăng cường khả năng bảo mật" Adrian Ludwig - Giám đốc kỹ thuật bảo mật phần mềm của Adobe - cho biết.

Như vậy, tin tặc đã có thể sử dụng video để tấn công người dùng thì chắc chắn các dạng tệp tin đa phương tiện khác cũng có thể bị lợi dụng,

Hoàng Dũng