Các nhà cung cấp bảo mật vừa cảnh báo người dùng về một phần mềm độc hại có thể lây nhiễm vào máy tính thông qua một lỗi nổi tiếng AutoRun của Windows được sử dụng để tự động khởi động chương trình trên một thiết bị DVD hoặc USB.
Sự trở lại của mã độc tấn công trong AutoRun là điều rất được quan tâm, đặc biệt khi Windows 7 và Windows 8 không có tính năng tự động khởi động tập tin autorun.inf, và Microsoft cũng đã phát hành 2 bản vá lỗi cho hệ điều hành cũ. Chính vì vậy, các chuyên gia bảo mật tin rằng hoạt động tấn công này chỉ xảy ra thông qua một máy tính chưa được cập nhật bản vá lỗi, hoạt động chia sẻ các thư mục/tập tin và các phương tiện truyền thông mạng xã hội.
Một người nào đó chèn ổ flash USB hoặc thẻ nhớ mang theo phần mềm độc hại có thể lây nhiễm vào các máy tính chưa được vá lỗi. Trên hệ thống khác, một mã độc có thể tấn công thông qua các hoạt động chia sẻ trên một mạng và có ai đó nhấp chuột vào một tập tin hoặc thư mục bị nhiễm độc. Trend Micro cũng thông báo rằng phần mềm độc hại cũng có thể lan truyền trên Facebook.
Các nhà cung cấp khác đang theo dõi phần mềm độc hại này, bao gồm McAfee, Symantec, và Sophos. Trong khi hầu hết cho rằng mã độc khai thác thông qua lỗi AutoRun truyền thống thì Sophos lại cho biết hầu hết các máy tính cá nhân của các công ty đang nhiễm bệnh thông qua mạng chia sẻ.
Sophos: Chia sẻ tập tin có khả năng là thủ phạm
Chester Wisniewski, một cố vấn an ninh cao cấp của Sophos, tập trung cho rằng khi người dùng nhấn vào liên kết chia sẻ trong Facebook có thể sẽ mở ra một đường dẫn nhanh đến thư mục chứa mạng chia sẻ của công ty. Chính vì vậy ông tin rằng AutoRun không phải là nguồn gốc quan trọng nhất trong các hoạt động tấn công. Theo Wisniewski thì AutoRun có thể là một giải pháp thú vị mà bọn tội phạm vẫn còn sử dụng để lây lan các tập tin mã độc bởi lẽ các vec-tơ điều khiển đang bị Microsoft quản lý chặt chẽ hơn.
Trước đó, bản vá lỗi AutoRun đã được Microsoft tung ra trong năm 2009, 1 tháng sau khi Trung tâm Phản ứng khẩn cấp Mỹ, US-CERT, ban hành một cảnh báo lỗi trong Windows 2000/XP/Server 2003. Sau đó 1 năm công ty tiếp tục tung ra bản vá lỗi cho Windows Vista và Windows Server 2008.
Phần mềm độc hại Stuxnet khét tiếng được xem là nguyên nhân chính tạo ra một tập tin autorun.inf để lây nhiễm vào các máy tính thông qua ổ đĩa USB. The báo cáo của The New York Times thì sâu Stuxnet, được tạo ra trong năm 2009 bởi Mỹ và Israel nhằm mục đích phá hỏng cơ sở hạt nhân của Iran.
Chiến thuật mới nhất
Các phần mềm độc hại mới nhất có khả năng cải trang bản thân như là các tập tin và thư mục trong mạng chia sẻ để lưu trữ trên các thiết bị di động. Chúng cũng sẽ tạo ra các file exe với tên liên quan đến các hoạt động khiêu dâm hoặc một thư mục có tên gọi là password để lôi kéo người dùng bấm vào chúng, theo Sophos.
Phần mềm độc hại sẽ thêm một khóa registry, do đó nó có thể chạy ngay khi máy tính được khởi động. Các biến thể của ứng dụng sẽ vô hiệu hóa tính năng Windows Update để ngăn chặn nạn nhân tải về các bản vá lỗi để vô hiệu hóa các phần mềm độc hại.
Khi một máy tính bị nhiễm độc, ứng dụng sẽ thực hiện theo một quy trình do phần mềm độc hại đặt ra. Nó có khả năng liên lạc với một máy chủ lệnh và kiểm soát các chỉ dẫn. Sophos cảnh báo, chúng cũng có thể tải về các trojan trong gia đình sâu Zeus/Zbot, đánh cắp thông tin ngân hàng trực tuyến,...
Để chống lại các phần mềm độc hại, các chuyên gia bảo mật khuyên người dùng nên vô hiệu hóa tính năng AutoRun trên tất cả các hệ điều hành Windows và hạn chế quyền ghi chèn các tập tin. Tùy thuộc vào nhà cung cấp AV, phần mềm độc hại mới có nhiều tên khác, bao gồm cả W32/VBNA-X, W32/Autorun.worm.aaeb, W32.ChangeUp và WORM_VOBFUS.
Ổ dịch mới nhất được phát hiện chỉ 1,5 năm sau khi Microsoft báo cáo sự sụt giảm lớn trong tỷ lệ lây nhiễm mã độc AutoRun. Cũng theo Microsoft, so với năm 2010 thì trong 5 tháng đầu năm 2011, số lượng phần mềm độc hại liên quan đến AutoRun được phát hiện bởi Microsoft đã giảm 59% trên máy tính Windows XP và 74% trên máy tính Vista.
Theo NLD