Virus Zeus nhắm tới dữ liệu tài khoản ngân hàng

10:02 | 24/05/2012

Virus Zeus là một thuật ngữ phổ biến chỉ các loại Trojan Zeus xuất hiện trong những năm gần đây, được sử dụng để đánh cắp các thông tin chi tiết tài khoản ngân hàng và mật khẩu của khách hàng. Chúng đã bị các chuyên gia an toàn thông tin của Anh phát hiện và hiện nay đang được cộng đồng ATTT mạng quan tâm.


Virus Zeus đã tồn tại trong nhiều năm ở dạng công cụ chiến tranh mạng (Zeus Crimeware Toolkit). Việc chuyển nhượng, mua bán virus này được thực hiện thông qua các diễn đàn hacker trên Internet. Giới tội phạm mua bộ Zeus Crimeware - được cung cấp bởi một trang web, có khả năng điều khiển giao diện để kiểm soát việc triển khai và sử dụng Trojan, đồng thời sẵn sàng cung cấp công cụ bổ sung để tạo ra các tập tin nhị phân Trojan mới và mã hóa các tập tin cấu tạo nên virus này. Các phiên bản đầu tiên đã được bán từ năm 2007 và kể từ đó nó đã phát triển rất nhanh do chia sẻ hầu hết các mật khẩu của khách hàng bị các Trojan này đánh cắp. Đối thủ cạnh tranh lớn nhất của các Trojan là đồng loại SpyEye được bán mã nguồn với giá rẻ, nhưng SpyEye đã bị dừng bán vào cuối năm 2009.
Virus Zeus đánh cắp dữ liệu như thế nào?
Trojan Zeus được thiết kế để đánh cắp thông tin nhạy cảm của giao dịch ngân hàng và tải các thông tin này lên một máy chủ được đặt ở vị trí ở xa và an toàn; các dữ liệu này đã được xác định trong các tập tin cấu hình virus. Các tập tin cấu hình này cũng xác định các trang web cho các Trojan nhằm mục tiêu định tấn công để gia tăng lây lan virus. Sau khi lây nhiễm, virus Zeus sẽ tiếp tục nắm bắt thông tin được nhập vào các trang web ngân hàng trực tuyến và gửi đến máy chủ từ xa. 
Các chuyên gia nhận định rằng, Trojan Zeus đã phát triển qua thời gian dài, đến nay trở thành một “kho vũ khí”. Các chức năng ăn cắp thông tin của nó bao gồm: Đánh cắp dữ liệu được gửi dưới các hình thức HTTP; đánh cắp các thông tin bí mật của các tài khoản được lưu trữ trong Windows; đánh cắp thông tin tài khoản FTP và POP; đánh cắp/xóa HTTP và cookie flash; Sửa đổi các trang HTML của các trang web với mục tiêu nhằm lấy cắp thông tin; chuyển hướng nạn nhân từ các trang web mục tiêu sang các trang web mà kẻ tấn công kiểm soát; làm mất chức năng chụp ảnh màn hình của máy tính và làm méo trang HTML của các trang web bị nhiễm virus; xóa các khóa registry quan trọng, làm cho máy tính không thể khởi động vào Windows....
 Cơ chế lây nhiễm của Virus Zeus
Trojan Zeus lây nhiễm ra các máy tính theo hai cách, từ các file đính kèm email bị nhiễm virus và tải các chương trình từ các máy tính đã bị nhiễm virus. Các Trojan Zeus đặc biệt nguy hiểm là các phần mềm độc hại lây nhiễm từ các trang web không hợp pháp nhằm tới các máy tính mục tiêu. Khi một máy tính bị lây nhiễm lần đầu, Trojan sẽ tạo ra một thư mục “%windir%system32wsn powem”, nơi chứa các tệp “audio.dll” và “video.dll.”. Các tệp này được sử dụng để lưu thông tin đánh cắp được từ máy tính bị tấn công, cũng như các tập tin cấu hình được tải về sau khi đã nhiễm virus. Thư mục này sẽ được che giấu bởi chính Trojan sinh ra, tiếp theo, virus tự sao chép nó để tạo ra tệp “% windir% system32ntos.exe”; rồi ngay tức khắc sửa đổi tệp đó và tạo ra tệp với tên “oembios.exe” trong cùng miền của nó. Sau bước này, virus sẽ kiểm tra các tiến trình đang chạy trên máy tính và kích hoạt các bức tường lửa của máy tính hoạt động. Nếu máy tính không có tường lửa, nó sẽ tiến hành sửa đổi registry để chạy phần mềm độc hại trong phần khởi động máy tính và tiếp tục lây lan trên toàn bộ máy tính.

Tự bảo vệ mình trước virus Zeus

Các chuyên gia khuyến cáo, các doanh nghiệp và người dùng nên thực hiện dịch vụ ngân hàng trực tuyến và các giao dịch tài chính trên các máy trạm là các thiết bị chuyên dùng; Không được sử dụng các máy này cho các hoạt động khác trên Internet như duyệt web và đọc email... vì đây là các nguyên nhân có thể làm tăng nguy cơ nhiễm virus. Trường hợp đặc biệt, các doanh nghiệp nên sử dụng một hệ điều hành riêng cho các máy tính truy cập vào các tài khoản hoặc các giao dịch tài chính nhạy cảm. Quản trị mạng phải thường xuyên duy trì chương trình phòng, chống virus, cập nhật các bản vá lỗi cho hệ điều hành và các phần mềm tác nghiệp. Không mở file đính kèm e- mail đáng ngờ hoặc các liên kết từ những người không quen biết. Ngoài ra, nâng cao nhận thức cho cả khách hàng và nhân viên, đặc biệt là các nhân viên giao tiếp với khách hàng về các mối đe dọa đối với an ninh thông tin trong giao dịch ngân hàng, tài chính.