Xuất hiện virus khai thác số tài khoản ngân hàng

Những người sử dụng dịch vụ ngân hàng trực tuyến cần thận trọng với virus mới xuất hiện trên Windows có thể đánh cắp thông tin đăng nhập tài khoản.

Được biết tới như một "rootkit" trên những trang web tạo ra cho mục đích lợi dụng lỗ hổng trong trình duyệt Internet Explorer để cài đặt mã tấn công. Các chuyên gia bảo mật cảnh báo Mebroot là loại virus nguy hiểm và rất khó phát hiện bởi nó ẩn sâu trong hệ điều hành. Chương trình tìm cách ghi đè lên một phần của vùng khởi động chính (Master Boot Record - MBR). Đây là vùng ổ cứng mà máy tính đọc trước tiên khi được bật điện nguồn, nhằm tìm các thông số của hệ điều hành.

Qua trang blog của hãng bảo mật Symatec, ông Elia Florio chỉ ra rằng nhiều chương trình virus độc chiếm trước khi Windows sử dùng MBR, như vậy kiểm soát được hệ điều hành. Một khi đã cài đặt được, Mebroot mở đường cho các chương trình gây hại khác tải xuống, ví dụ như phần mềm đánh cắp nội dung các phím gõ, để qua đó đánh cắp các thông tin bí mật. Hầu hết các chương trình này đều không hoạt động cho tới khi chủ máy tính truy cập các hệ thống ngân hàng trực tuyến.

Hãng bảo mật iDefense xác nhận đã phát hiện được Mebroot từ tháng 12-2007, nhưng biến thể virus bắt đầu hoạt động trong một loạt các vụ tấn công xảy ra hồi cuối năm. Chỉ tính từ 12/12/2007 tới 07/01/2008, đã ghi nhận hơn 5.000 máy tính bị nhiễm virus này.

Các phân tích về Mebroot cho thấy nhờ cơ chế dùng MBR làm nơi trú ẩn, nên có thể tái cài đặt các chương trình đi kèm khi chúng bị phát hiện và gỡ bỏ bởi các phần mềm diệt virus. Nhưng chỉ có một số ít chương trình chống virus có khả năng tìm ra, và Mebroot cũng không thể gỡ bỏ trong lúc máy tính đang hoạt động.

Các máy tính chạy Windows XP, Windows Vista, Windows Server 2003 và Windows 2000 chưa được vá lỗi đầy đủ là các mục tiêu dễ bị loại virus này khống chế. Công cụ của hãng bảo mật độc lập GMER vừa tung ra được coi là phát huy tốt chức năng dò tìm và gỡ bỏ chương trình đánh cắp thông tin do Mebroot đưa vào.

Anh Tú