Bộ phận phản ứng bảo mật của Symantec vừa công bố những thủ đoạn được mã độc Flamer sử dụng để lây lan từ máy tính này sang máy tính khác với quy mô lớn và độ phức tạp cao, thậm chí còn hơn cả Stuxnet.
>>> Căng thẳng chống mã độc Flamer
Flamer đã tận dụng những thủ đoạn tinh vi từng được mã độc Stuxnet sử dụng để “tác oai tác quái” một thời như: Khai thác lỗ hổng Thực thi mã lệnh từ xa cho dịch vụ nạp lệnh in trong Microsoft Windows; thông qua một thiết bị lưu trữ rời (removable media) có sử dụng tệp tin autorun.inf được viết lại; sử dụng các ổ đĩa rời trong đó có 1 thư mục đặc biệt cho phép ẩn các tệp tin, điều này có thể gây ra khả năng tự thực thi các tệp tin đó khi người dùng hiển thị nội dung trong ổ USB và khi máy tính của người dùng tồn tại lỗ hổng Tự động thực thi tệp tin shortcut LNK/PIF trong Microsoft Windows.
Thậm chí ở “trình độ” cao hơn Stuxnet, Flamer sử dụng cả 2 cơ chế autorun.inf và khai thác lỗ hổng shortcut, trong khi trước đó, Stuxnet ở phiên bản cũ chỉ sử dụng autorun.inf và sau khi được nâng cấp mới dùng tới shortcut.
Ngoài những thủ đoạn nêu trên, Flamer cũng có khả năng lợi dụng tính năng chia sẻ mạng để nắm giữ những thông tin quan trọng, trong đó có cả thông tin về quản trị tên miền.
Đặc biệt, các chuyên gia bảo mật Symantec còn phát giác ra một thủ đoạn mới tinh của Flamer, đó là sử dụng các điểm kết nối (junction points) - một tính năng của Windows cho phép người sử dụng dùng để tạo ra một bí danh vào một thư mục – để ẩn các tập tin, khiến cho người dùng “lạc lối”, khi người dùng truy cập vào tập tin có chứa Flamer thì vô hình chung đã tạo điều kiện giúp mã độc này tận dụng các lỗ hổng và lây lan.
Về nguyên tắc, Flamer không tự động lây lan trừ phi có sự can thiệp và ra lệnh của những kẻ tấn công.
Các chuyên gia của Symantec cho rằng sẽ còn khám phá ra nhiều thủ đoạn tinh vi cũng như những kỹ thuật lắt léo khi tiếp tục phân tích mối đe dọa bảo mật mới này.