Phát hiện mã độc có khả năng lây nhiễm trên cả Windows lẫn Mac OS
(Dân trí) - Các chuyên gia bảo mật vừa phát hiện ra một loại mã độc đang phát tán rộng rãi không chỉ trên Windows mà còn trên cả nền tảng Mac OS của Apple và thậm chí trên các hệ thống máy tính ảo, có khả năng đánh cắp thông tin người dùng.
Loại mã độc được biết với tên gọi Crisis đã được các chuyên gia bảo mật phát hiện ra vào giữa tuần này. Crisis có thể lây lan thông qua chức năng autorun trên các ổ cứng di động gắn ngoài (thẻ nhớ, USB…) rồi lây nhiễm vào hệ thống máy tính khi được kết nối với thiết bị. Thậm chí, Crisis còn có thể lây nhiễm vào các máy tính ảo trên máy tính của nạn nhân nếu phát hiện ra hệ thống máy tính này có sử dụng các phần mềm tạo máy tính ảo như VMWare…
Đây được xem là một trường hợp khác đặc biệt, vì những loại mã độc trước đây thường ít khi hoặc hầu như không xâm nhập vào các hệ thống máy ảo trên hệ thống. Bởi lẽ các hacker thường suy luận rằng những người có cài đặt máy ảo trên máy của mình thường là các chuyên gia công nghệ, họ không phải là mục tiêu yêu thích.
“Khi kẻ tấn công phát hiện ra hệ thống máy ảo trên máy tính của nạn nhân, các mã độc thường lảng tránh các máy ảo này”, Vikram Thakur, chuyên gia của hãng bảo mật Symantec cho biết. “Tuy nhiên với trường hợp của Crisis, loại mã độc này cố ý xâm nhập vào hệ thống máy ảo”.
Khi Crisis xâm nhập thành công vào Windows, nó sẽ đánh lừa các máy ảo có trên đó rằng nó chỉ là một file hệ thống và sau đó sẽ tự động sao chép chính nó vào trong máy ảo. Các máy ảo đang chạy sẽ bị lây nhiễm virus hoàn toàn tương tự như trên hệ thống máy tính bình thường.
Nhiệm vụ cuối cùng của mã độc Crisis là cài đặt và mở cửa hậu (backdoor) và thực hiện các lệnh để chuyển hướng người dùng đến các địa chỉ đã được vạch sẵn.
Đáng chú ý, Crisis không chỉ lây nhiễm trên Windows mà thậm chí còn đang phát tán trên nền tảng Mac OS X của Apple. Trên Mac OS X, loại mã độc này sẽ cài đặt chính nó như một người dùng trên hệ thống, thậm chí xuất hiện dưới dạng một tài khoản quản lý (administrator).
Trên cả 2 hệ thống Windows và Mac OS X, Crisis sẽ bí mật theo dõi và ghi lại các hoạt động của người dùng trên các phần mềm chat như Adium hay Skype cũng như bí mật ghi lại hoạt động trên các trình duyệt web. Các thông tin này sau đó sẽ được gửi ra bên ngoài cho các hacker.
Hiện các chuyên gia bảo mật đang phân tích mã nguồn của Crisis tuy nhiên vẫn chưa phát hiện được nguồn gốc phát tán của loại mã độc này.
Mã độc Crisis được viết bằng ngôn ngữ Java và được đóng gói dưới dạng tập tin Java. Bên trong tập tin này có chứa 2 file có thể thực thi: một dành cho hệ điều hành Windows và một dành cho Mac OS X. Sau khi phát hiện ra hệ điều hành mà nạn nhân đang sử dụng, nó sẽ cài đặt phiên bản tương ứng.
Tuy nhiên, theo hãng bảo mật Symantec, trên hệ điều hành Mac OS X, Crisis không có chức năng lan truyền mà chỉ thực hiện thức năng tạo cửa hậu, trong khi đó trên nền tảng Windows, Crisis còn có cả chức năng của một con virus (có khả năng phát tán và lây nhiễm rộng rãi).
Theo các chuyên gia bảo mật, ngoài khả năng lây nhiễm trên Windows, Mac OS X hay các máy ảo, Crisis thậm chí còn có thể phát tán trên nền tảng di động Windows Mobile.
Crisis đang gây lo ngại với khả năng phát tán rộng rãi trên nhiều nên tảng khác nhau
Đây được xem là một trường hợp khác đặc biệt, vì những loại mã độc trước đây thường ít khi hoặc hầu như không xâm nhập vào các hệ thống máy ảo trên hệ thống. Bởi lẽ các hacker thường suy luận rằng những người có cài đặt máy ảo trên máy của mình thường là các chuyên gia công nghệ, họ không phải là mục tiêu yêu thích.
“Khi kẻ tấn công phát hiện ra hệ thống máy ảo trên máy tính của nạn nhân, các mã độc thường lảng tránh các máy ảo này”, Vikram Thakur, chuyên gia của hãng bảo mật Symantec cho biết. “Tuy nhiên với trường hợp của Crisis, loại mã độc này cố ý xâm nhập vào hệ thống máy ảo”.
Khi Crisis xâm nhập thành công vào Windows, nó sẽ đánh lừa các máy ảo có trên đó rằng nó chỉ là một file hệ thống và sau đó sẽ tự động sao chép chính nó vào trong máy ảo. Các máy ảo đang chạy sẽ bị lây nhiễm virus hoàn toàn tương tự như trên hệ thống máy tính bình thường.
Nhiệm vụ cuối cùng của mã độc Crisis là cài đặt và mở cửa hậu (backdoor) và thực hiện các lệnh để chuyển hướng người dùng đến các địa chỉ đã được vạch sẵn.
Đáng chú ý, Crisis không chỉ lây nhiễm trên Windows mà thậm chí còn đang phát tán trên nền tảng Mac OS X của Apple. Trên Mac OS X, loại mã độc này sẽ cài đặt chính nó như một người dùng trên hệ thống, thậm chí xuất hiện dưới dạng một tài khoản quản lý (administrator).
Trên cả 2 hệ thống Windows và Mac OS X, Crisis sẽ bí mật theo dõi và ghi lại các hoạt động của người dùng trên các phần mềm chat như Adium hay Skype cũng như bí mật ghi lại hoạt động trên các trình duyệt web. Các thông tin này sau đó sẽ được gửi ra bên ngoài cho các hacker.
Hiện các chuyên gia bảo mật đang phân tích mã nguồn của Crisis tuy nhiên vẫn chưa phát hiện được nguồn gốc phát tán của loại mã độc này.
Mã độc Crisis được viết bằng ngôn ngữ Java và được đóng gói dưới dạng tập tin Java. Bên trong tập tin này có chứa 2 file có thể thực thi: một dành cho hệ điều hành Windows và một dành cho Mac OS X. Sau khi phát hiện ra hệ điều hành mà nạn nhân đang sử dụng, nó sẽ cài đặt phiên bản tương ứng.
Tuy nhiên, theo hãng bảo mật Symantec, trên hệ điều hành Mac OS X, Crisis không có chức năng lan truyền mà chỉ thực hiện thức năng tạo cửa hậu, trong khi đó trên nền tảng Windows, Crisis còn có cả chức năng của một con virus (có khả năng phát tán và lây nhiễm rộng rãi).
Theo các chuyên gia bảo mật, ngoài khả năng lây nhiễm trên Windows, Mac OS X hay các máy ảo, Crisis thậm chí còn có thể phát tán trên nền tảng di động Windows Mobile.
T.Thủy
Theo eWeek
Theo eWeek