Theo các nhà nghiên cứu bảo mật tại
Cisco, một loại phần mềm độc hại mới có tên Rombertik vừa bị phát hiện
cho thấy chúng có thể tự phá hủy những dữ liệu quan trọng lưu trữ trong
tệp tin hệ thống Windows trên Master Boot Record (một thành phần quan trọng của ổ cứng và là nơi lưu trữ thông tin phân vùng ổ đĩa),
khiến máy tự khởi động lại nhiều lần nhằm trốn sự phát hiện của các
công cụ phân tích virus, phần mềm độc hại. Cùng với đó, khi Master Boot
Record bị lỗi sẽ khiến khả năng phục hồi dữ liệu trên ổ cứng trở nên khó
khăn hơn bao giờ hết.
Master Boot Record bắt đầu với đoạn mã
thực thi trước khi hệ điều hành được khởi động. Khi Master Boot Record
bị Rombertik ghi đè lên, nó sẽ hiển thị lệnh "Carbon crack attempt, failed" và sau đó đưa người dùng vào một vòng lặp vô hạn để ngăn cản hệ thống tiếp tục khởi động đúng quy trình.
Dù người dùng có khởi động lại bao nhiêu
lần thì màn hình vẫn hiển thị dòng chữ trên cho tới khi máy tính được
cài đặt lại hệ điều hành.
Loại phần mềm độc hại mới này cũng có thể đánh lừa được cả các công cụ sandbox (cô lập ứng dụng) của các nhà nghiên cứu bằng cách viết ra một byte dữ liệu ngẫu nhiên và chuyển tới bộ nhớ hệ thống hơn 960 triệu lần liên tục.
Chuyên gia bảo mật Graham Cluley cho
biết, loại phần mềm tự hủy như Rombertik là khá hiếm bởi vì phần mềm độc
hại hiện nay không bao giờ muốn gây sự chú ý bởi mục tiêu chính của
chúng là âm thầm "trộm" đi những thông tin quý giá của người dùng trong
thời gian dài.
Rombertik được Cisco xác định có thể sẽ
xuất hiện khá nhiều thông qua thư rác và tin nhắn lừa đảo được gửi đến
nạn nhân, dụ dỗ người dùng tải về và giải nén các file đính kèm chứa mã
độc.
Một khi được cài đặt và lây lan trên máy
tính của người dùng, phần mềm độc hại Rombertik sẽ đánh cắp thông tin
đăng nhập và dữ liệu cá nhân của người dùng khi truy cập vào bất kỳ
website nào trước khi gửi dữ liệu này tới kẻ tấn công.
Không có nhận xét nào:
Đăng nhận xét