Lật tẩy bí mật của mã độc tinh vi nhất thế giới

13:37, 05/06/2012

(VnMedia) - Các nhà nghiên cứu bảo mật của Microsoft và Symantec vừa phát hiện ra những thủ đoạn mới về khả năng tấn công của mã độc tinh vi nhất thế giới – Flame.

Virus tính vi nhất thế giới - Flame nhắm vào các tập đoàn công nghiệp lớn ở khu vực Trung Đông để đánh cắp thông tin gián điệp.

Microsoft thừa nhận rằng, virus Flame đã khai thác lỗ hổng trên hệ điều hành Windows của các máy tính PC tại khu vực Trung Đông. Tập đoàn này đã phát hành một bản sửa lỗi để ngăn chặn công cụ gián điệp tinh vi này.

Flame được phát hiện lần đầu bởi Kaspersky Labs, một công ty bảo mật của Nga. Điều lạ kỳ ở chỗ, dung lượng mã nguồn của sâu này lên tới 20 megabyte, nặng gấp 100 lần các loại phần mềm độc hại thông dụng khác.

Các chuyên gia bảo mật cho biết, họ đã rất ngạc nhiên và "ấn tượng" bởi cách tiếp cận mà các kẻ tấn công sử dụng. Theo đó, chúng cải trang virus Flame như một phần mềm hợp pháp do Microsoft tạo ra. Đoạn mã của Flame hoạt động như một kiểu chứng nhận kỹ thuật số trong phần mềm của Microsoft, được thiết kế dành cho khách hàng doanh nghiệp sử dụng các tính năng tiên tiến của Windows.

Trong khi đó, bộ phận phản ứng bảo mật của Symantec lại phát hiện thấy những thủ đoạn mới được virus Flame sử dụng, để lây lan từ máy tính này sang máy tính khác. Theo đó, Flame không tự động lây lan trừ khi có sự can thiệp và ra lệnh của những kẻ tấn công. Flame đã lợi dụng tính năng chia sẻ mạng để nắm giữ những thông tin quan trọng, trong đó có cả thông tin về Quản trị tên miền.

Flame khai thác lỗ hổng thực thi mã lệnh từ xa thông qua một thiết bị lưu trữ rời, thủ đoạn này tương tự như cách mã độc khét tiếng Stuxnet trước đây sử dụng. Flame đã lợi dụng thư mục đặc biệt cho phép ẩn các tệp tin trong các ổ đĩa rời, để tự thực thi các tệp tin đó khi người dùng hiển thị nội dung trong ổ USB và khi máy tính của người dùng tồn tại lỗ hổng tự động thực thi tệp tin shortcut LNK/PIF trong Microsoft Windows.

Hầu hết các thủ đoạn trên từng được biết đến nhưng thủ đoạn sử dụng những điểm kết nối để tấn công người dùng khiến các chuyên gia hoàn toàn bất ngờ. Flame thực sự là một mã độc phức tạp và có quy mô lớn. Các chuyên gia nhận định sẽ còn khám phá ra nhiều thủ đoạn tinh vi, cũng như những kỹ thuật lắt léo khi tiếp tục “mổ xẻ” Flame.

Tuệ Minh - (Theo Reuters)