Các nhà cung cấp bảo mật vừa cảnh báo người dùng về một phần mềm độc hại có thể lây nhiễm vào máy tính thông qua một lỗi nổi tiếng AutoRun của Windows được sử dụng để tự động khởi động chương trình trên một thiết bị DVD hoặc USB.

Sự trở lại của mã độc tấn công trong AutoRun là điều rất được quan tâm, đặc biệt khi Windows 7 và Windows 8 không có tính năng tự động khởi động tập tin autorun.inf, và Microsoft cũng đã phát hành 2 bản vá lỗi cho hệ điều hành cũ. Chính vì vậy, các chuyên gia bảo mật tin rằng hoạt động tấn công này chỉ xảy ra thông qua một máy tính chưa được cập nhật bản vá lỗi, hoạt động chia sẻ các thư mục/tập tin và các phương tiện truyền thông mạng xã hội.

microsoft

Một người nào đó chèn ổ flash USB hoặc thẻ nhớ mang theo phần mềm độc hại có thể lây nhiễm vào các máy tính chưa được vá lỗi. Trên hệ thống khác, một mã độc có thể tấn công thông qua các hoạt động chia sẻ trên một mạng và có ai đó nhấp chuột vào một tập tin hoặc thư mục bị nhiễm độc. Trend Micro cũng thông báo rằng phần mềm độc hại cũng có thể lan truyền trên Facebook.

Các nhà cung cấp khác đang theo dõi phần mềm độc hại này, bao gồm McAfee, Symantec, và Sophos. Trong khi hầu hết cho rằng mã độc khai thác thông qua lỗi AutoRun truyền thống thì Sophos lại cho biết hầu hết các máy tính cá nhân của các công ty đang nhiễm bệnh thông qua mạng chia sẻ.

Sophos: Chia sẻ tập tin có khả năng là thủ phạm


Chiến thuật mới nhất

Các phần mềm độc hại mới nhất có khả năng cải trang bản thân như là các tập tin và thư mục trong mạng chia sẻ để lưu trữ trên các thiết bị di động. Chúng cũng sẽ tạo ra các file exe với tên liên quan đến các hoạt động khiêu dâm hoặc một thư mục có tên gọi là password để lôi kéo người dùng bấm vào chúng, theo Sophos.

Phần mềm độc hại sẽ thêm một khóa registry, do đó nó có thể chạy ngay khi máy tính được khởi động. Các biến thể của ứng dụng sẽ vô hiệu hóa tính năng Windows Update để ngăn chặn nạn nhân tải về các bản vá lỗi để vô hiệu hóa các phần mềm độc hại.

Khi một máy tính bị nhiễm độc, ứng dụng sẽ thực hiện theo một quy trình do phần mềm độc hại đặt ra. Nó có khả năng liên lạc với một máy chủ lệnh và kiểm soát các chỉ dẫn. Sophos cảnh báo, chúng cũng có thể tải về các trojan trong gia đình sâu Zeus/Zbot, đánh cắp thông tin ngân hàng trực tuyến,...

Để chống lại các phần mềm độc hại, các chuyên gia bảo mật khuyên người dùng nên vô hiệu hóa tính năng AutoRun trên tất cả các hệ điều hành Windows và hạn chế quyền ghi chèn các tập tin. Tùy thuộc vào nhà cung cấp AV, phần mềm độc hại mới có nhiều tên khác, bao gồm cả W32/VBNA-X, W32/Autorun.worm.aaeb, W32.ChangeUp và WORM_VOBFUS.

Ổ dịch mới nhất được phát hiện chỉ 1,5 năm sau khi Microsoft báo cáo sự sụt giảm lớn trong tỷ lệ lây nhiễm mã độc AutoRun. Cũng theo Microsoft, so với năm 2010 thì trong 5 tháng đầu năm 2011, số lượng phần mềm độc hại liên quan đến AutoRun được phát hiện bởi Microsoft đã giảm 59% trên máy tính Windows XP và 74% trên máy tính Vista.

Theo NLD