Sự nguy hiểm của mã độc Romertik 'diệt' ổ cứng

Thứ sáu - 08/05/2015 10:01

Giới bảo mật vừa phát hiện một loại mã độc mới với tên gọi Rombertik, có khả năng diệt được cả ổ cứng chứa chính nó, nếu bị một phần mềm bảo mật nào tìm ra.

Sự nguy hiểm của mã độc Romertik 'diệt' ổ cứng

Mã độc Rombertik có khả năng tự diệt cả chính nó nếu bị phát hiện - Ảnh chụp màn hình PCWorld

Đội phản ứng với nguy cơ bảo mật của Cisco là đơn vị đầu tiên khám phá ra mã độc Rombertik. Tinh vi, thông minh và nguy hiểm là những điều có thể nói về mã độc này.

Theo phân tích của hãng bảo mật Kaspersky, Rombertik không chỉ xáo trộn hoạt động của chính bản thân khi nó quét thấy có những dấu hiệu đang bị theo dõi. Nguy hiểm hơn, nếu Rombertik nhận thấy mình đang có nguy cơ bị "dòm ngó" thì nó sẽ "nổi giận" và hủy hoại cả ổ cứng bằng cách ghi đè lên MBR (Master Boot Record) của ổ cứng khiến cơ hội phục hồi dữ liệu gần như vô vọng.

Được phát tán qua email "rác" và lừa đảo trực tuyến, khi thâm nhập vào hệ thống, Rombertik thực hiện hành vi "nghe lén" qua khả năng bắt gói dữ liệu trao đổi ra vào của trình duyệt web trên máy tính bị lây nhiễm.

Ngoài ra, Rombertik còn kiểm tra xem nó có đang vận hành trong "hộp cát" của máy tính ảo hay không. Đây là một môi trường bảo mật, một vùng an toàn nơi mã độc dù có hoành hành cũng không hề hấn gì đến hệ thống. Do đó, tính năng của Rombertik còn có thể nhận diện và né tránh được cả "hộp cát". Theo phân tích ban đầu, 97% các tập tin đóng gói trong mã độc Rombertik là dành cho hình ảnh và chức năng, tuy nhiên, Rombertik hầu như không dùng đến chúng. Khi Rombertik bắt đầu chạy, nó viết 960 triệu byte dữ liệu ngẫu nhiên vào bộ nhớ. Đây là tuyệt chiêu đánh chặn những ứng dụng bảo mật nào đang cố theo dõi hoạt động của nó, làm ngập chúng với hơn 100 GB tập tin bản ghi. Nếu không có quyền chép đè, Rombertik mã hóa toàn bộ tập tin trong thư mục C:\Documents and Settings\Administrator với khóa mã hóa RC4.

Các chuyên gia luôn khuyến cáo người dùng máy tính cẩn trọng khi sử dụng email, đặc biệt là những email gửi kèm các liên kết (link) trong nội dung hay tập tin đính kèm, ngay cả khi gửi từ địa chỉ quen thuộc. Đây là phương thức luôn được tội phạm mạng ưu tiên sử dụng để phát tán mã độc.

Ngoài ra, người dùng cần sử dụng các chương trình bảo vệ hệ thống bao gồm: tường lửa như Kaspersky Internet Security, Trend Micro, Avast, Avira... và thường xuyên cập nhật các mẫu nhận diện mã độc mới. Nếu thực hiện sớm, người dùng có thể phòng tránh được nguy cơ mã độc Rombertik tấn công vào máy.

Được biết, Master Boot Record - MBR là một trong những thành phần quan trọng nhất của đĩa cứng và được tạo ra khi ổ cứng được phân vùng (partition). MBR chứa một lượng nhỏ mã thực thi, chịu trách nhiệm quản lý hoạt động của phân vùng. Một khi MBR bị tổn hại, hệ thống không thể hoạt động, hiển thị các dòng thông báo lỗi như "Invalid partition table", hay "Error loading operating system", hoặc "Missing operating system".

Tác giả: Thành Luân

Nguồn tin: news.go.vn

Tags: phát hiện, khả năng, tên gọi, bảo mật