Cách đây 2 ngày, tôi có viết một bài về xu hướng mới của loại virus ghi đè file. Tuy nhiên, tại thời điểm đó, do thời gian hạn hẹp, công việc lại đang bộn bề nên chưa thể phân tích tỉ mỉ. Bởi vậy, có thể nhiều người (thậm chí chuyên gia an ninh mạng) sẽ nghĩ nó không có gì mới cả. Thực ra, cái mới ở đây là một sự thay đổi lớn trong chiến lược mà loại virus này áp dụng để dễ dàng qua mặt các chuyên gia. Hôm nay, khi công việc đã đi vào đúng quỹ đạo, tôi muốn dành thời gian tổng kết lại quá trình biến đổi của loại virus này sau 4 năm nhóm của tôi nghiên cứu và theo dõi sự phát triển của chúng. Hy vọng các bạn sẽ có một cái nhìn tổng quan và thấy được xu hướng mới của loại virus này.

Virus ghi đè file xuất hiện từ đầu năm 2007, và đã chuyển mình rõ rệt qua 3 giai đoạn :

• Thời kì đầu (2007) – Virus ghi đè file hệ thống (System-file replacing virus)

Virus thay thế các file chuẩn của hệ điều hành ví dụ như: explorer.exe, userinit.exe, winlogon.exe, rpcss.dll, lpk.dll, comres.dll … Để hệ điều hành vẫn hoạt động bình thường, virus backup các file nó đã thay thế và gọi trở lại sau khi nó đã được kích hoạt. Nếu ta gỡ bỏ virus bằng cách tìm và xóa file của virus mà không khôi phục lại các file virus đã thay thế thì hệ thống sẽ bị lỗi (treo, hoặc không hoạt động bình thường). Trên thực tế, hầu hết các phần mềm diệt virus đều mắc phải lỗi này. Chúng tôi cũng đã cảnh báo về vấn đề này trong Hội nghị thường niên của APCERT.

• Thời kì thứ 2 (2009) – Virus ghi đè file của chương trình khởi động (Startup-program replacing virus)

Thay vì thay thế các file của hệ điều hành, kẻ xấu chuyển sang tấn công vào các chương trình được đăng ký khởi động cùng hệ thống. Thông thường, các chương trình được đăng ký trong 2 key :

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun

Tương tự như thời kỳ đầu, virus cũng backup các file mà nó thay thế. Và các AV vẫn tiếp tục mắc phải lỗi là diệt mà không khôi phục lại các file cần được khôi phục.

• Thời kì thứ 3 (2010) – Virus ghi đè file của các chương trình cập nhật (Software-Updater file replacing virus)

Gần đây, nhiều mẫu virus ghi đè chương trình cập nhật của các phần mềm bắt đầu xuất hiện và ngày càng phổ biến. Nhiều người sẽ nhầm tưởng các mẫu này với các mẫu trong thời kỳ thứ hai. Các mẫu virus ghi đè file trong thời kỳ này ẩn mình kỹ hơn rất nhiều bằng cách giả mạo biểu tượng hay thông tin phiên bản và ghi đè lên các chương trình cập nhật của một số phần mềm phổ biến như Adobe, DeepFreeze, Java …

Khác với 2 thời kì đầu, các loại virus này không backup các file mà nó đã thay thế. Nhưng chúng chỉ tấn công vào chương trình cập nhật nên không làm ảnh hưởng đến hoạt động của phần mềm.

Ngoài ra, do virus giả mạo biểu tượng và thông tin phiên bản, nên khi dùng các công cụ như Autoruns, Process Explorer … để rà soát hệ thống, ta không thể xác định được hệ thống có bị lây nhiễm hay không.

Rõ ràng đây là một chiến lược mới của virus, và nó đang gây rất nhiều khó khăn cho các chuyên gia.

Bạn cũng có thể tham khảo thêm thông tin tại :

http://blog.bkis.com/en/malware-faking-adobe-update/
http://www.pcworld.com/businesscenter/article/192422/new_malware_overwrites_software_updaters.html
http://www.computerworld.com/s/article/9174126/New_malware_overwrites_software_updaters

Trên đây là 3 thời kỳ biến đổi của loại virus ghi đè file (file replacing virus). Chúng vẫn sẽ tiếp tục phát triển các phương thức lây nhiễm mới, bởi kẻ xấu sẽ không ngừng tìm cách để gây khó khăn cho các nhà sản xuất phần mềm diệt virus. Thực tế đó đòi hỏi các nhà sản xuất phần mềm diệt virus cũng phải liên tục cải tiến thay vì chỉ nhận diện và xóa file như hiện nay.

Bkis R&D

Trackback URI | Comments RSS