Trojan thế hệ kế tiếp

Con trojan mới nhất - với tên gọi Rustock theo cách đặt tên của Symantec hay Mailbot.AZ theo cách gọi của F-Secure - đã sử dụng các kỹ thuật rootkit nhằm qua các công nghệ nhận dạng phần mềm độc hại của các hãng bảo mật.

"Đây hoàn toàn có thể được xem là 'đứa con đầu lòng' của thế hệ rootkit kế tiếp," Elia Florio - một chuyên gia bảo mật của Symantec - khẳng định. "Rustock.A mang trong mình một sự kết hợp của những kỹ thuật cũ cùng với những ý tưởng mới. Kết quả của sự kết hợp đó là một loại phần mềm độc hại không thể bị phát hiện nếu chỉ sử dụng các công cụ truy tìm rootkit thông thường".

Cuộc đua công nghệ & kỹ thuật

Rootkits được xem là một hiểm hoạ đang nổi lên mạnh mẽ. Rootkit thường được sử dụng để làm thay đổi hệ thống nhằm che dấu các phần mềm độc hại. Trong trường hợp của Rustock, công nghệ rootkit được sử dụng để che dấu con trojan và mở một cổng sau trên các hệ thống bị nhiễm để liên kết với kẻ tấn công từ xa.

Trong một cuộc đua với các nhà phát triển phần mềm bảo mật, những kẻ sáng tạo ra những mẫu rootkit mới nhất có lẽ cũng đã nghiên cứu rất kỹ công nghệ phát hiện phần mềm độc hại trước khi lập trình sản phẩm của chúng, Craig Schmugar - một chuyên gia nghiên cứu virus của hãng bảo mật McAfee - cho biết.

"Các hãng bảo mật đang nỗ lực để vượt qua những kẻ lập trình phần mềm độc hại trong cuộc đua nói trên. Nhưng đáng tiếc những kẻ lập trình phần mềm độc hại vẫn có được những công nghệ từ phía các hãng bảo mật. Đã có một số kỹ thuật công nghệ được sử dụng kết hợp để tăng sức mạnh và khả năng ẩn thân cho các hiểm hoạ bảo mật," Craig nói.

Sự kết hợp của các công nghệ ẩn thân đã giúp cho Rustock hoàn toàn vô hình trên các hệ thống bị nhiễm, thậm chí cả với các hệ thống chạy Windows Vista. Symantec xem đây là một trong những tiến bộ mới nhất trong việc thiết kế lập trình các đoạn mã độc hại.

Để tránh bị phát hiện, Rustock không khởi động hay đính kèm vào bất kỳ một tiến trình hệ thống nào cả. Thay vào đó, nó lại vận hành những đoạn mã của chúng trong các phần mềm trình điều khiển thiết bị và luồng hệ thống. Con trojan này thay đổi các luồng dữ liệu thay vì phải che dấu các tệp tin và tránh việc sử dụng giao diện ứng dụng phần mềm. Trong khi đó các công cụ phát hiện phần mềm độc hại ngày này chỉ mới kiểm tra các tiến trình hệ thống, các tệp tin ẩn.

Rustock còn đánh bại các công cụ phát hiện rootkit trong việc kiểm tra kiến trúc nhân hệ điều hành hoặc nỗ lực kiểm tra phát hiện các phần mềm trình điều khiển ẩn. Không những thế kỹ thuật polymorphic còn cho phép chúng tự động thay đổi mã nguồn mỗi khi lây nhiễm sang những hệ thống khác nhau.

Tuy nhiên, các chuyên gia cũng khẳng định hiện cơ hội người dùng bị tấn công bằng những rootkit hay trojan nói trên là rất thấp. Trong khi đó, các hãng bảo mật cũng đã kịp thời nâng cấp các công cụ phát hiện rootkit bổ sung thêm khả năng phát hiện những phần mềm độc hại như vậy.

(VnMedia)