Cảnh báo virus đánh cắp dữ liệu

Cảnh báo virus đánh cắp dữ liệu

Các chuyên gia bảo mật đang cảnh báo về một loại virus trên Windows có thể đánh cắp các thông tin đăng nhập đối với các tài khoản ngân hàng trực tuyến.

Tháng trước, chương trình gây hại đã hành hạ chừng 5.000 nạn nhân, hầu hết đều sống ở châu Âu. Nhiều người dại dột bị mắc bẫy qua các trang Web xấu chuyên lợi dụng những điểm dễ chọc thủng trong trình duyệt Internet của Windows để cài đặt mã tấn công.

Các chuyên gia nói virus này rất nguy hiểm bởi nó ẩn sâu trong Windows, rất khó phát hiện.

Bổn cũ soạn lại

Chương trình gây hại là một loại virus, được biết tới như một 'rootkit'. Nó tìm cách chép đè lên một phần của ổ cứng, phần khởi động chính (Master Boot Record (MBR)). Đây là vùng mà máy tính đọc khi được bật điện nguồn, nhằm tìm các thông tin về hệ điều hành cho máy.

Elia Florio viết trên trang blog của hãng an ninh máy tính Symatec: "Nếu bạn kiểm soát được MBR của máy, bạn sẽ kiểm soát được hệ điều hành và do đó, kiểm soát được cả cái máy tính đó". Ông Florio chỉ ra rằng nhiều loại virus xuất hiện từ trước khi Windows sử dùng MBR để kiểm soát máy tính.

Một khi đã cài đặt được virus, mà Symantec gọi là Mebroot, thường tair các chương trình gây hại khác xuống, ví dụ như phần mềm đánh cắp nội dung các phím gõ, để qua đó đánh cắp các thông tin bí mật.

Hầu hết các chương trình xấu này không hoạt động cho tới khi chủ máy tính truy cập các hệ thống ngân hàng trực tuyến nằm trong số hơn 900 tổ chức tài chính.

Nhóm người Nga chuyên viết virus đứng đằng sau Mebroot được cho là đã tạo ra gia đình virus xuất hiện trên hơn 200 nghìn hệ thống. Nhóm này chuyên đánh cắp các dữ liệu ngân hàng.

Hãng bảo mật iDefense nói Mebroot được phát hiện hồi tháng Mười, nhưng nó bắt đầu hoạt động trong một loạt các vụ tấn công từ tháng Mười Hai. Chỉ tính từ 12/12/2007 tới 07.01.2008, iDefense đã phát hiện hơn 5000 máy tính bị nhiễm chương trình này.

Các phân tích về Mebroot cho thấy chương trình này lợi dụng các vị trí ẩn trong MBR làm nơi trú ẩn, cho nên nó cóo thể tái cài đặt các chương trình đi kèm khi chúng bị phát hiện và gỡ bỏ bởi các phần mềm diệt virus.

Mặc dù các chương trình đánh cắp password mà Mebroot có thể bị phần mềm bảo mật phát hiện nhưng chỉ có một số ít các gói phần mềm chống virus thương mại hiện có khả năng phát hiện ra chúng. Mebroot không thể bị gỡ bỏ trong lúc máy tính đang hoạt động.

Hãng bảo mật độc lập GMER đã tung ra một loại công cụ scan và gỡ bỏ chương trình đánh cắp này. Các máy tính chạy Windows XP, Windows Vista, Windows Server 2003 và Windows 2000 chưa được vá lỗi đầy đủ là các đối tượng dễ bị loại virus này khống chế.

Theo BBCVietnamese