Một loại virus cực kỳ nguy hiểm có tên gọi Flame đang tấn công hệ thống máy tính ở Iran vừa bị phát hiện bởi các chuyên gia Kaspersky trong những ngày gần đây. Với số lượng mã độc nhiều gấp 100 lần bình thường, virus Flame đang dấy lên mối lo ngại toàn cầu về sự xâm nhập và đánh cắp thông tin trái phép và phá hủy hệ thống an ninh mạng. Tại sao Flame lại nguy hiểm đến vậy và làm thế nào để nhận biết máy tính có bị lây nhiễm hay không?
Sự nguy hiểm của Flame đã được công nhận bởi những chuyên gia bảo mật hàng đầu của Kaspersky và các nhân viên an ninh ở Iran. Không những thế, Liên Hợp Quốc cũng sẽ phát cảnh báo khẩn cấp về nó trong vài ngày tới. Vì vậy, eSoftBlog tin rằng đối chúng ta – những người dùng máy tính ở Việt Nam, việc hiểu và nhận biết về loại virus mới này hoàn toàn không phải là thừa.
Bằng cách thực hiện các hành động trên, Flame có thể xâm phạm một khối lượng lớn thông tin và gửi đi trái phép cho chủ nhân. Ngoài ra, Flame còn có khả năng tải về các mô-đun nhằm tăng tính nguy hiểm của nó. Cho đến bây giờ, đã có 20 mô-đun bổ sung được phát hiện và có thể tải về dễ dàng.
Nếu được triển khai đầy đủ, kích thước tổng cộng của các gói mô-đun có thể lên tới 20 MB bao gồm cả máy ảo Lua. Điều này khiến cho Flame phức tạp hơn bao giờ hết so với khả năng phân tích của một trình diệt virushoặc một chuyên gia.
1. Tiến hành tìm kiếm tập tin có tên ~DEB93D.tmp trên toàn bộ ổ đĩa. Nếu bạn tìm thấy tập tin đó, có nghĩa là khả năng máy tính bị nhiễm virus Flame là rất cao.
2. Kiểm tra khóa Authentication Packages nằm trong đường dẫnHKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa của hệ thống Registry, nếu giá trị của khóa này là mssecmgr.ocx hoặc authpack.ocx – điều đó có nghĩa máy tính bạn đã bị nhiễm Flame !
3. Kiểm tra sự hiện diện của các thư mục dưới đây. Nếu có, máy tính đã bị nhiễm virus :
“C:/Program Files/Common Files/Microsoft Shared/MSSecurityMgr
C:/Program Files/Common Files/Microsoft Shared/MSAudio
C:/Program Files/Common Files/Microsoft Shared/MSAuthCtrl
C:/Program Files/Common Files/Microsoft Shared/MSAPackages
C:/Program Files/Common Files/Microsoft Shared/MSSndMix
4. Tiếp tục tìm kiếm các tập tin đã đề cập ở bước 2. Nếu bạn tìm thấy những tập tin lạ này, sự hiện diện của Flame là khó tránh khỏi.
(Sưu tầm)
Sự nguy hiểm của Flame đã được công nhận bởi những chuyên gia bảo mật hàng đầu của Kaspersky và các nhân viên an ninh ở Iran. Không những thế, Liên Hợp Quốc cũng sẽ phát cảnh báo khẩn cấp về nó trong vài ngày tới. Vì vậy, eSoftBlog tin rằng đối chúng ta – những người dùng máy tính ở Việt Nam, việc hiểu và nhận biết về loại virus mới này hoàn toàn không phải là thừa.
Flame là gì ?
Bản chất của Flame là một bộ công cụ tấn công vô cùng tinh vi và phức tạp. Flame hoạt động như mộtbackdoor, Trojan nhưng đôi khi lại là những con sâu worm nhằm mục đích lây nhiễm thông qua mạng cục bộ và các thiết bị lưu trữ di động. Một khi đã lây nhiễm vào máy tính, Flame có thể thực hiện hàng loạt các hành động phức tạp như kiểm soát lưu lượng mạng, chụp màn hình, ghi âm các cuộc hội thoại và nhiều hơn thế.Bằng cách thực hiện các hành động trên, Flame có thể xâm phạm một khối lượng lớn thông tin và gửi đi trái phép cho chủ nhân. Ngoài ra, Flame còn có khả năng tải về các mô-đun nhằm tăng tính nguy hiểm của nó. Cho đến bây giờ, đã có 20 mô-đun bổ sung được phát hiện và có thể tải về dễ dàng.
Nếu được triển khai đầy đủ, kích thước tổng cộng của các gói mô-đun có thể lên tới 20 MB bao gồm cả máy ảo Lua. Điều này khiến cho Flame phức tạp hơn bao giờ hết so với khả năng phân tích của một trình diệt virushoặc một chuyên gia.
Các Mô-đun của Flame
| Beetlejuice | Bluetooth: Liệt kê các thiết bị xung quanh máy tính nhiễm.Có thể biến bản thân thành một “ngọn hải đăng”: nhằm thông báo cho các thiết bị khác biết máy tính đang có khả năng kết nối và mã hóa trạng thái của các phần mềm độc hại (mã hóa base64). |
| Microbe | Ghi âm từ các nguồn phần cứng hiện có. Liệt kê tất thông tin các thiết bị đang kết nối, so sánh cấu hình đầy đủ để tìm ra thiết bị ghi âm phù hợp nhất. |
| Infectmedia | Lựa chọn một trong các phương pháp lây nhiễm tới các phương tiện lưu trữ ngoài, ví dụ USB. Các phương pháp đó bao gồm Autorun_infector, Euphoria. |
| Autorun_infector | Tạo tập tin “autorun.inf” có chứa phần mềm độc hại và bắt đầu với dòng lệnh “open”. Phương pháp này giống với cách mà virus Stuxnet áp dụng trước đây. |
| Euphoria | Tạo một thư mục trọng điểm chứa “desktop.ini”, “target.lnk” từ LINK1 và LINK2. Thư mục hoạt động như một phím tắt dùng để khởi chạy Flame. |
| Limbo | Tạo một tài khoản backdoor với tên đăng nhập “HelpAssistant” trên các máy trong hệ thống mạng (nếu được quyền) |
| Frog | Lây nhiễm sang các máy có tài khoản người dùng được xác định trước. Chính là các tài khoản “HelpAssistant” đã được tạo sẵn bởi sự tấn công của mô-đun Limbo. |
| Munch | Là một máy chủ HTTP nhằm đáp ứng các yêu cầu “/view.php” and “/wpad.dat”. |
| Snack | Lắng nghe thông điệp mạng, nhận và lưu gói NBNS thành một bản ghi dưới dạng tập tin. Snack chỉ bắt đầu khi Munch được bắt đầu. |
| Boot_dll_loader | Kiểm soát thời điểm tải về và bắt đầu của các mô-đun bổ sung. |
| Weasel | Khởi tạo danh sách các thư mục trong máy tính bị nhiễm. |
| Boost | Tạo ra một danh sách các tập tin bắt mắt bằng cách sử dụng một vài filename ngụy trang. |
| Telemetry | Phương tiện đăng nhập. |
| Gator | Khi máy tính có kết nối Internet, Gator sẽ kết nối tới các máy chủ C&C để tải về các mô-đun mới và tải lên dữ liệu thu thập được. |
| Security | Nhận biết các chương trình có khả năng gây hại cho Flame, bao gồm các trình antivirus và tường lửa. |
| BunnyDbquerryDrillerHeadacheGadget | Mục đích của những mô-đun này chưa được khám phá. |
Cách nhận biết máy tính bị lây nhiễm virus Flame
Flame không giống như các mối đe dọa khác, hiện tại chưa một trình diệt virus dành cho PC nào có khả năng phát hiện ra nó. Dưới đây là những khuyến cáo của Kaspersky nhằm phát hiện Flame bằng tay trước khi hãng tung ra công cụ chuyên dụng nhằm giải quyết vấn đề này.1. Tiến hành tìm kiếm tập tin có tên ~DEB93D.tmp trên toàn bộ ổ đĩa. Nếu bạn tìm thấy tập tin đó, có nghĩa là khả năng máy tính bị nhiễm virus Flame là rất cao.
2. Kiểm tra khóa Authentication Packages nằm trong đường dẫnHKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa của hệ thống Registry, nếu giá trị của khóa này là mssecmgr.ocx hoặc authpack.ocx – điều đó có nghĩa máy tính bạn đã bị nhiễm Flame !
3. Kiểm tra sự hiện diện của các thư mục dưới đây. Nếu có, máy tính đã bị nhiễm virus :
“C:/Program Files/Common Files/Microsoft Shared/MSSecurityMgr
C:/Program Files/Common Files/Microsoft Shared/MSAudio
C:/Program Files/Common Files/Microsoft Shared/MSAuthCtrl
C:/Program Files/Common Files/Microsoft Shared/MSAPackages
C:/Program Files/Common Files/Microsoft Shared/MSSndMix
4. Tiếp tục tìm kiếm các tập tin đã đề cập ở bước 2. Nếu bạn tìm thấy những tập tin lạ này, sự hiện diện của Flame là khó tránh khỏi.
(Sưu tầm)
0 nhận xét:
Đăng nhận xét