Kinhtedothi - Hãng Cisco vừa thông báo phát hiện ra một loại phần mềm độc hại mới có tên Rombertik sử dụng để tiến hành do thám máy tính nạn nhân. Trong trường hợp phát hiện ra bị ngăn chặn, Rombertik sẽ tiến hành xóa ổ cứng nạn nhân, ghi đè lên phần đầu tiên của ổ cứng (MBR) và khởi động lại để máy tính không còn sử dụng được.
Phần mềm Rombertik được phát tán qua thư điện tử.
|
Tương tự như phần mềm Dyre được phát hiện trước đây, Rombertik cũng được thiết kế ẩn nấp trong trình duyệt web của người sử dụng để đọc các thông tin đăng nhập và các thông tin nhạy cảm khác phục vụ cho tiến hành tấn công điều khiển máy chủ. Tuy nhiên, không như Dyre, Rombertik thu thập tất cả các thông tin của các trang web mà người sử dụng truy nhập đến.
Phần mềm độc hại Rombertik được phát tán qua thư điện tử rác và thư điện tử lừa đảo gửi cho những người có thể sẽ là nạn nhân. Một khi người dùng mở thư điện tử, tải tệp đính kèm, giải nén và mở ra thì máy tính người dùng sẽ bị xâm hại.
Thư điện tử phát tán Rombertik được soạn nhìn như đến từ hãng Microsoft.
|
Quá trình thực hiện gây hại cho nạn nhân của Rombertik cũng rất phức tạp nhằm mục đích chống lại bất kỳ sự phân tích tĩnh hay động nào của các phần mềm chống virus. Đầu tiên, Rombertik sẽ kiểm tra xem nó có phải đang được chạy trong lớp ngăn cách (sandbox) với hệ điều hành hay không . Sau khi kiểm tra xong, Rombertik sẽ tiến hành giải nén và tự cài đặt trong máy nạn nhân để lưu trú vĩnh viễn ở đó. Tiếp đến, Rombertik lại tự nhân bản ra bản thứ hai để cóp đè lại bản cài đầu tiên để bổ sung lõi chứa chức năng độc hại.
Trước khi bắt đầu tiến hành do thám máy tính nạn nhân, Rombertik sẽ tự kiểm tra xem có bị phần mềm chống virus nào theo dõi nó trong bộ nhớ hay không. Nếu thất bại, Rombertik sẽ phá hủy phần đầu tiên của ổ cứng và khởi động lại máy tính để làm cho máy tính không còn sử dụng được.
Đối với người dùng, trong khi chưa có biện pháp phòng chống hữu hiệu thì nên cẩn thận hơn khi mở tệp đính kèm để tránh mình là nạn nhân của tội phạm không gian mạng.
