Để qua mặt các phần mềm diệt virus cũng như các chuyên gia phân tích hệ thống, gần đây, kẻ xấu đã phát tán một loạt biến thể malware có biểu tượng và thông tin phiên bản giống hệt các chương trình cập nhật của một số phần mềm phổ biến. Một khi đã lây nhiễm vào máy tính nạn nhân, mã độc sẽ ghi đè lên các chương trình cập nhật này. Do biểu tượng và thông tin phiên bản đã bị giả mạo nên người sử dụng bình thường, thậm chí cả các chuyên gia virus, cũng rất dễ “bị lừa” và bỏ qua chúng mà không chút nghi ngờ.

Hình 1: Key khởi động và tiến trình của malware khi xem bằng Autorun và ProcessXP. Rất khó để xác định rằng đó là mã độc.

Qua phân tích chúng tôi nhận thấy mã độc được viết bằng ngôn ngữ Visual Basic, giả mạo các chương trình phổ dụng như Adobe, DeepFreeze, Java, Windows… Ngoài ra, sau khi được thực thi, chúng lập tức bật các dịch vụ DHCP client, DNS client, Network share và mở cổng để nhận lệnh từ hacker.

Hình 2: Giả mạo AdobeUpdater

Hình 3: Giả mạo chương trình cập nhật của Java

Trong trường hợp này, lời khuyên dành cho người sử dụng là cập nhật thường xuyên phiên bản mới nhất của phầm mềm diệt virus để có được sự hỗ trợ tốt nhất từ các chuyên gia.

Bkav nhận diện virus này với tên W32.Fakeupver.trojan. Người sử dụng Bkav có thể hoàn toàn yên tâm vì máy tính của mình đã được bảo vệ bởi phiên bản cập nhật mới nhất của phần mềm.

Bkis R&D

Trackback URI | Comments RSS