Virus siêu đa hình thách thức các phần mềm diệt virus
Virus siêu đa hình là thế hệ “cao cấp” mới của các dòng virus đa hình trước đây. Các virus đa hình là những virus có khả năng tự động biến đổi mã lệnh của chính nó, tạo ra các biến thể khác nhau trong mỗi lần lây nhiễm. Trong khi các loại virus thông thường thì luôn giữ nguyên một loại mã lệnh trong tất cả các lần lây nhiễm, hay nói cách khác chỉ có duy nhất 1 kiểu biến thể. Khả năng “thay hình đổi dạng” này giúp cho virus đa hình có thể lẩn trốn tinh vi trước sự truy quét của các phần mềm diệt virus.
Siêu đa hình là loại virus kết hợp nhiều kiểu đa hình chồng chéo, chúng sử dụng các giải thuật di truyền để tự động lai tạo với nhau, sinh ra các thế hệ virus “con cháu” F1, F2,... Càng lây nhiễm lâu trên máy tính, virus siêu đa hình càng sinh ra nhiều biến thể với độ phức tạp càng cao, khiến cho khả năng nhận dạng và bóc lớp của các phần mềm diệt virus càng khó khăn. Chính vì thế, các virus siêu đa hình hiện nay có thể qua mặt được tất cả các phần mềm diệt virus nổi tiếng nhất trên thế giới.
Theo thống kê từ hệ thống diệt virus siêu đa hình của Bkav, trong năm qua Việt Nam đã có 2,2 triệu lượt máy tính bị nhiễm loại virus này.
Về mức độ phá hoại, virus siêu đa hình nguy hiểm hơn so với các virus khác. Chúng gây ra các sự cố nghiêm trọng cho hệ thống, có thể dẫn đến phá hủy dữ liệu, làm giảm mức độ an ninh của hệ thống.
Phần mềm diệt virus giả - Fake AV xuất hiện hàng loạt
Hàng loạt phần mềm diệt virus giả - Fake AV đã ra đời trong một thời gian ngắn gây hoang mang cho người sử dụng trên toàn cầu.
Bằng cách gửi email hoặc lợi dụng các công cụ tìm kiếm, hacker lừa người sử dụng truy cập vào website quét virus trực tuyến giả mạo, có giao diện giống hệt cửa sổ Windows.
Khi đó, người sử dụng sẽ nhận được hàng loạt các thông báo máy tính bị nhiễm virus và được “khuyến cáo” bấm vào một nút để diệt virus. Nếu làm theo “khuyến cáo” giả mạo này là người dùng đã tải về máy tính một phần mềm diệt virus giả (Hình 1).
Những phần mềm diệt virus giả mạo này sau khi được cài đặt trên máy sẽ lại liên tiếp thông báo tình trạng nhiễm virus trên máy tính gây hoang mang cho người sử dụng. Không ít người đã phải bỏ tiền mua những phần mềm này với hy vọng có thể xử lý được trục trặc, nhưng thực chất lại là tự bỏ tiền ra mua virus. Và đó là mục đích chính của hacker trong những đợt tấn công sử dụng phần mềm diệt virus giả.
Hệ thống theo dõi virus của Bkis ghi nhận, trong năm qua xuất hiện 744 chương trình giả mạo phần mềm diệt virus với hàng chục nghìn biến thể như W32.FakeAntivirERZ.Adware, W32.FakeSecuritySUI.Adware, W32.FakeAvVbs.Worm hay W32.FakeAVScanAD.Adware... Đã có ít nhất 258.000 máy tính tại Việt Nam bị lừa cài đặt các phần mềm này.
Để phòng tránh, người sử dụng cần hết sức cảnh giác khi truy cập web, không nên tải về bất kỳ phần mềm nào không rõ nguồn gốc.
Những kỹ thuật mới của virus
Trong năm 2009, các loại virus mới không những tăng về mặt số lượng mà còn xuất hiện với cách thức lây lan và phá hoại mới, tinh vi hơn. Theo nghiên cứu của Bkis, có ít nhất 02 kỹ thuật mới được sử dụng để lây lan và phá hoại mà chưa có ở các dòng virus trước đó.
Đầu tiên phải kể đến W32.Induc.PE - Virus lây nhiễm bằng cách tấn công trình biên dịch Delphi. Thay vì lây nhiễm trực tiếp trên các phần mềm ứng dụng, loại virus mới có tên W32.Induc.PE chọn trình biên dịch Borland Delphi (một công cụ lập trình) để làm bàn đạp phát tán. Điều đó có nghĩa là nếu máy tính của lập trình viên bị nhiễm virus W32.Induc.PE thì phần mềm được viết ra trên máy tính đó cũng sẽ bị nhiễm virus. Như vậy, các phần mềm viết bằng Delphi được đưa đến tay người sử dụng có thể đã bị gắn mã độc.
Kế đến là loại Trojan có thể nghe lén các cuộc hội thoại qua Skype. Bất chấp việc Skype cố gắng bảo vệ các dữ liệu của mình bằng cách sử dụng phương pháp mã hóa công khai, một loại malware vừa xuất hiện gần đây có khả năng nghe lén các cuộc hội thoại của người sử dụng dịch vụ voice chat Skype.
Trojan này can thiệp vào quá trình truyền nhận giữa trình điều khiển thiết bị âm thanh và tiến trình của Skype (Hình 2):
Bằng cách chèn (inline hook) vào các hàm của DirectX và Multimedia audio controller, W32.Peskyspy.Trojan sẽ kiểm soát được dữ liệu gửi - nhận giữa chương trình Skype và Audio devices. Sau đó nó tiến hành bóc tách dữ liệu âm thanh (audio), nén lại theo chuẩn MP3 rồi gửi về cho hacker.
Mặc dù những virus này mới chỉ xuất hiện ở dạng thử nghiệm, chưa phát tán trên diện rộng hay phá hoại nghiêm trọng, nhưng rất có thể trong năm 2010, các kỹ thuật mới này sẽ được hacker áp dụng triệt để, để tạo ra những virus có mức độ nguy hiểm cao hơn và phát tán rộng hơn.
Một số dự báo tình hình virus năm 2010
Năm 2010, virus sẽ tiếp tục xuất hiện hằng ngày với số lượng ngày càng tăng, đặc biệt là các virus nguy hiểm như virus siêu đa hình, virus ghi đè file chuẩn của hệ điều hành. 2010 cũng sẽ là năm chứng kiến sự tăng đột biến của các chương trình diệt virus giả mạo. Khi việc tấn công trực diện vào máy tính của người dùng bằng các kỹ thuật trở nên khó khăn hơn, hacker sẽ tấn công bằng các thủ thuật lừa đảo. Chẳng hạn như khi Microsoft đưa ra cơ chế UAC (User Account Control) tương đối chặt chẽ, với khả năng đảm bảo an ninh cao và mọi quyết định thực thi trên máy tính sẽ thuộc về người sử dụng thì lập tức xuất hiện các virus giả mạo các thông báo của Windows 7 để lừa người sử dụng thực thi mã độc.
Điện thoại di động sẽ là đích ngắm mới của giớitội phạm, đặc biệt là khi mạng 3G bắt đầu được đưa vào hoạt động tại Việt Nam. Trong năm 2010 sẽ có nhiều cuộc tấn công lừa đảo và phát tán mã độc trên điện thoại di động tại Việt Nam. Tình trạng này đã diễn ra ở nhiều nước có mạng không dây băng rộng và 3G phát triển.
.
Xét về mức độ nguy hiểm thì bị tấn công qua điện thoại di động nguy hiểm gấp nhiều lần so với bị tấn công qua máy tính và mạng Internet vì tâm lý người sử dụng luôn nghĩ rằng, điện thoại là vật dụng rất cá nhân, lại luôn nằm trong tay mình nên không có ý thức cảnh giác với thiết bị này. Trong khi đó, với mạng 3G, rất nhiều dữ liệu mật thiết, quan trọng lại được lưu giữ, cập nhật và giao dịch trên chính điện thoại di động như các dữ liệu về tài chính, thông tin riêng tư...
Luật Hình sự sửa đổi chính thức có hiệu lực từ ngày 1/1/2010 ở nước ta, sẽ tạo ra hành lang pháp lý để xử lý hình sự những kẻ phát tán virus máy tính. Nếu như các vụ việc phát tán virus trước đây, chỉ bị xử phạt hành chính, thì năm 2010 hành vi này có thể bị truy tố hình sự và bị phạt tù từ 1 đến 12 năm