Hãng bảo mật SecureWorks cho biết vừa phát hiện một con Windows Trojan cực kỳ nguy hiểm với khả năng qua mặt hàng loạt ứng dụng chống mã độc.

Đi vào phân tích sâu con trojan này SecureWorks phát hiện mã độc một khi đã lây nhiễm lên hệ thống sẽ gửi thông tin chứng thực và nhận dạng người dùng về một địa chỉ IP tại Nga.

Nội dung bản báo cáo phân tích chuyên sâu của SecureWorks khẳng định hàng loạt ứng dụng chống mã độc tên tuổi như Sophos, Symantec hay F-Prot đều không thể ngăn cản bước tiến của con trojan nói trên.

Theo những gì mà SecureWorks có được đến này thì có thể khẳng định con trojan nói trên đã bắt đầu xuất hiện và phát tán rộng rãi trên mạng từ khoảng tháng 12/2006.

Cơ chế đột nhập vào hệ thống của con trojan này có thể nói là độc nhất vô nhị và vô cùng phức tạp. Con trojan cùng với một đoạn mã JavaScript độc khác ẩn mình trong một khung (FRAME) nhúng trên một trang web nào đó. Tiến trình tải con trojan về được thực hiện thông qua việc sử dụng XMLHTTP và ActiveX Data Objects nên hầu như không gây bất kỳ sự chú ý nào cho người dùng.

Sau khi đột nhập thành công con trojan sẽ tự động tạo một khoá Registry mới thuộc RUN trong System Registry cho phép nó được tự động khởi động cùng với hệ điều hành.

Regisitry cũng chính là "đường truyền" giúp con trojan chuyển tải dữ liệu từ hệ thống bị nhiễm về cho người chủ sở hữu của nó. Thực hiện được tác vụ này là nhờ một số bộ phận Windows có khả năng độc và khi dữ liệu lên System Registry mà không cần phải chứng thực.

Một chức năng khác của con trojan là thử đăng nhập vào hệ thống máy chủ của một ngân hàng ở California (Mỹ) với những thông tin giả mạo để phát hiện thủ tục thực hiện giao dịch của ngân hàng. SecureWorks cho rằng đây thực sự là một giải pháp để vượt qua công nghệ mã hoá SSL.

Chuyên gia nghiên cứu bảo mật Don Jackson của SecureWorks cho biết ông đã phát hiện có một nguồn cung cấp kiểu trojan này tại Nga với giá khoảng 500 USD đến 2.000 USD. Các cơ quan quản lý đã thất bại trong việc "hạ gục" máy chủ chứa chấp con trojan nói trên và để cho nó hoành hành đến tận ngày nay.

Kể cả SecureWorks và Đội phản ứng nhanh với các tình huống máy tính khẩn cấp của Mỹ (US-CERT) hiện vẫn chưa thể đưa ra bất kỳ khuyến cáo cho người dùng để chống lại sự tấn công của dòng trojan nói trên.

Hoàng Dũng - (Betanews)

(Theo VnMedia)