Malware Flame gửi mã “tự sát”

Nhằm tránh bị "vạch rõ chân tướng", các tác giả của malware Flame đã gửi đi câu lệnh "tự sát" nhằm xóa bỏ Flame khỏi máy tính bị lây nhiễm và ghi đè lên các câu lệnh sai cú pháp để không bị điều tra về sau.

Đầu tuần trước, hãng bảo mật Symantec lưu ý rằng các máy chủ C&C (command and control) của virus Flame đã gửi mệnh lệnh khẩn cấp tới các máy tính bị lây nhiễm, tuyên bố là các máy tính này đang bị giám sát.

Tuy nhiên, các tác giả của Flame không truy cập được hết các máy chủ C&C của họ vì các hãng bảo mật đã giành quyền kiểm soát một số máy.

Symantec cho biết, câu lệnh “tự sát” được “thiết kế để xóa bỏ hoàn toàn Flame từ các máy tính bị lây nhiễm”. Câu lệnh này nằm ở file Flame trong máy tính, sẽ xóa bỏ Flame và ghi đè lên các câu lệnh sai cú pháp để tránh bị điều tra về sau.

Nhà phân tích mật mã Marc Stevens của Trung tâm Toán – Tin học CWI (Centrum Wiskunde & Informatica) tại Amsterdam, Hà Lan đã phân tích Flame. Ông Stevens khẳng định loại malware này lây nhiễm cho các máy mục tiêu bằng cách giả vờ là các bản cập nhật Windows hợp lệ. Cách đây hai tuần, Microsoft đã ra một bản cập nhật khẩn cấp để đối phó với Flame. Hiện vẫn chưa có thông tin chính xác về nguồn gốc thực sự của Flame, nhưng mức độ phức tạp của cuộc tấn công và sự xuất hiện mã “tự sát” nhằm xóa bỏ Flame càng gợi ý đứng đằng sau loại malware này là một quốc gia chứ không phải một nhóm hacker hay một cá nhân.

Flame hoạt động chủ yếu trên các hệ thống máy tính ở Trung Đông và Bắc Phi, với mật độ cao nhất tại Iran và Israel.