Virus tự hủy khi bị phát hiện
Và một loại phần mềm độc hại mới có tên Rombertik vừa bị phát hiện cho thấy, chúng có thể tự phá hủy những dữ liệu quan trọng lưu trữ trong tệp tin hệ thống Windows trên Master Boot Record (phần quan trọng của ổ cứng và là nơi lưu trữ thông tin phân vùng ổ đĩa), khiến máy tính tự khởi động lại nhiều lần nhằm tránh sự phát hiện của các công cụ phân tích virus, phần mềm độc hại.
Cùng với đó, khi Master Boot Record bị lỗi sẽ khiến khả năng phục hồi dữ liệu trên ổ cứng trở nên khó khăn hơn bao giờ hết. Loại virus độc hại này do các nhà nghiên cứu bảo mật tại Cisco tìm thấy.
Rombertik được Cisco xác định có thể sẽ xuất hiện khá nhiều thông qua thư rác và tin nhắn lừa đảo được gửi đến nạn nhân, dụ dỗ người dùng tải về và giải nén các file đính kèm chứa mã độc.
 |
Một khi được cài đặt và lây lan trên máy tính của người dùng, phần mềm độc hại Rombertik sẽ đánh cắp thông tin đăng nhập và dữ liệu cá nhân của người dùng khi truy cập vào bất kỳ website nào trước khi gửi dữ liệu này tới kẻ tấn công.
Master Boot Record bắt đầu với đoạn mã thực thi trước khi hệ điều hành được khởi động. Khi Master Boot Record bị Rombertik ghi đè lên, nó sẽ hiển thị lệnh "Carbon crack attempt, failed" và sau đó đưa người dùng vào một vòng lặp vô hạn để ngăn cản hệ thống tiếp tục khởi động đúng quy trình.
Dù người dùng có khởi động lại bao nhiêu lần thì màn hình vẫn hiển thị dòng chữ trên cho tới khi máy tính được cài đặt lại hệ điều hành.
Loại phần mềm độc hại mới này cũng có thể đánh lừa được cả các công cụ sandbox (cô lập ứng dụng) của các nhà nghiên cứu bằng cách viết ra một byte dữ liệu ngẫu nhiên và chuyển tới bộ nhớ hệ thống hơn 960 triệu lần liên tục. Chuyên gia bảo mật Graham Cluley cho biết, loại phần mềm tự hủy như Rombertik là khá hiếm bởi vì phần mềm độc hại không bao giờ muốn gây sự chú ý bởi mục tiêu chính của chúng là âm thầm "trộm" đi những thông tin quý giá của người dùng trong thời gian dài.
Quá trình thực hiện gây hại cho nạn nhân của Rombertik cũng rất phức tạp nhằm mục đích chống lại bất kỳ sự phân tích tĩnh hay động nào của các phần mềm chống virus. Đầu tiên, Rombertik sẽ kiểm tra xem nó có phải đang được chạy trong lớp ngăn cách với hệ điều hành hay không.
Sau khi kiểm tra xong, Rombertik sẽ tiến hành giải nén và tự cài đặt trong máy nạn nhân để lưu trú vĩnh viễn ở đó. Tiếp đến, Rombertik lại tự nhân bản ra bản thứ hai để cóp đè lại bản cài đầu tiên để bổ sung lõi chứa chức năng độc hại. Trước khi bắt đầu tiến hành do thám máy tính nạn nhân, Rombertik sẽ tự kiểm tra xem có bị phần mềm chống virus nào theo dõi nó trong bộ nhớ hay không. Nếu thất bại, Rombertik sẽ phá hủy phần đầu tiên của ổ cứng và khởi động lại máy tính để làm cho máy tính không còn sử dụng được.
Đối với người dùng, trong khi chưa có biện pháp phòng chống hữu hiệu thì nên cẩn thận hơn khi mở tệp đính kèm để tránh mình là nạn nhân của tội phạm không gian mạng.
