Phát hiện loại mã độc máy tính nguy hiểm, thay ổ cứng mới vẫn lây nhiễm

T.Thủy

(Dân trí) - Một loại mã độc nguy hiểm vừa được phát hiện, có khả năng tồn tại trên máy tính ngay cả khi người dùng cài đặt lại hệ điều hành, thậm chí thay ổ cứng mới.

Khi máy tính bị nhiễm các loại phần mềm độc hại như virus, mã độc, spyware… một trong những giải pháp đơn giản nhưng hiệu quả được nhiều người lựa chọn đó là cài đặt lại hệ điều hành trên máy tính đó (nhất là với máy tính chạy Windows). Giải pháp này sẽ "làm sạch" hệ thống, từ đó xóa luôn các loại mã độc xâm nhập vào máy tính.

Tuy nhiên, với loại mã độc có tên gọi CosmicStrand, giải pháp nêu trên sẽ trở nên vô dụng. Đây là loại mã độc máy tính vừa được các chuyên gia của hãng nghiên cứu bảo mật Kaspersky phát hiện.

Đặc điểm của loại mã độc CosmicStrand đó là được thiết kế để xâm nhập và lây nhiễm vào board mạch chủ của máy tính, thay vì lây nhiễm vào hệ điều hành, điều này đồng nghĩa với việc ngay cả khi người dùng cài đặt lại hệ điều hành hoặc thậm chí thay mới ổ cứng, CosmicStrand này vẫn tiếp tục tồn tại và xâm nhập vào máy tính của người dùng nếu họ tiếp tục sử dụng board mạch chủ có chứa mã độc.

Bản đồ cho thấy các quốc gia có máy tính bị nhiễm mã độc CosmicStrand (Ảnh: Kaspersky).

Bản đồ cho thấy các quốc gia có máy tính bị nhiễm mã độc CosmicStrand (Ảnh: Kaspersky).

Các chuyên gia bảo mật của Kaspersky cho biết họ phát hiện loại mã độc CosmicStrand trên các board mạch chủ thế hệ cũ do Asus và Gigabyte sản xuất, sử dụng loại chipset H81. Các loại board mạch chủ này được ra mắt lần đầu tiên vào quý III năm 2013, nhưng sau đó đã ngừng sản xuất vào quý I/2020.

Hiện loại mã độc này đang được phát hiện trên nhiều máy tính chạy hệ điều hành Windows tại Việt Nam, Trung Quốc, Nga và Iran.

Với việc lây nhiễm vào board mạch chủ, mã độc CosmicStrand có thể chạy các tiến trình độc hại ngay khi máy tính được khởi động, điều này cho phép tin tặc có thể xâm nhập, kiểm soát máy tính từ xa hoặc cài đặt thêm các loại mã độc vào hệ điều hành Windows trên máy tính.

Tuy nhiên, hiện các chuyên gia của Kaspersky vẫn chưa rõ làm cách nào để tin tặc có thể cài mã độc CosmicStrand vào board mạch chủ.

Nhiều khả năng, loại mã độc này được phát tán thông qua các phần mềm độc hại khác lây nhiễm vào hệ thống, sau đó chiếm quyền điều khiển để sửa đổi quá trình nâng cấp firmware board mạch trên máy tính hoặc không loại trừ khả năng tin tặc tấn công vào dây chuyền sản xuất board mạch chủ để cài đặt mã độc lên board mạch trước khi xuất xưởng và đến tay người dùng.

Hiện Kaspersky vẫn chưa xác định được thủ phạm đứng sau loại mã độc CosmicStrand, nhưng có những bằng chứng cho thấy các tin tặc đến từ Trung Quốc là tác giả của loại mã độc này, do CosmicStrand có nhiều đoạn mã khớp với các loại mã độc khác do hacker Trung Quốc phát tán từng được phát hiện trước đây.

Đáng chú ý, CosmicStrand không phải là loại mã độc đầu tiên lây nhiễm vào board mạch chủ máy tính, nhưng đây là loại mã độc đã "lẩn trốn" trong nhiều năm trước khi bị các chuyên gia bảo mật phát hiện ra.

Theo các chuyên gia bảo mật, cách duy nhất để xóa bỏ các loại mã độc lây nhiễm vào board mạch chủ của máy tính đó là cài đặt mới firmware của board mạch, tuy nhiên, đây là một giải pháp khó thực hiện và không phải ai cũng có thể làm được, nhất là với những người không rành về máy tính. Một giải pháp đơn giản hơn đó là thay đổi board mạch chủ trên máy tính, nhưng vẫn có thể tận dụng các bộ phận phần cứng khác của máy tính cũ như nguồn, ổ cứng, bộ nhớ RAM...

Theo Theo Bleeping/DTrends