Thay cho những "con ngựa thành Trojan", giới bảo mật đã phải dùng đến thuật ngữ "Xe ma thành Trojan" để mô tả về loại hình Trojan biến tướng này.
Các chuyên gia bảo mật của Sana Security vừa lên tiếng cảnh báo về một loại hình malware mới, được thiết kế với nhiệm vụ đánh cắp username và mật khẩu của người lướt Web. Với tên gọi "rootkit.hearse", phần mềm hiểm độc này sử dụng kỹ thuật rootkit để ngụy trang nên cực kỳ khó bị phát hiện.
Muốn đánh cắp được thông tin, phần mềm này cần phải được download xuống máy tính người dùng từ trước. Tuy vậy, một hacker hoàn toàn có thể làm được điều này bằng cách lừa người dùng download mã hiểm hay lây nhiễm virus, sâu cho máy tính. Một khi đã được cài đặt, Trojan này sẽ gửi ngay các thông tin nhạy cảm về một máy chủ đặt tại Nga. Theo Sana, có vẻ như máy chủ này đi vào hoạt động từ ngày 16/3 vừa qua.
Cơ chế hoạt động
Phần mềm Trojan này gồm hai bộ phận: Một ứng dụng Trojan chịu trách nhiệm liên lạc với máy chủ tại Nga và một phần mềm rootkit có khả năng ngụy trang, che giấu cho Trojan kia trước các công cụ diệt virus và scan hệ thống. Theo quan sát của Sana, "Xe ma Trojan" đang phát tán kèm theo sâu Win32.Alcra.
Theo Giám đốc công nghệ của Sana thì công nghệ ngụy trang mà Rootkit.hearse sử dụng giống hệt như phần mềm rootkit XCP đình đám của Sony BMG Music Entertainment, nghĩa là "nấp rất khéo" và cực khó phát hiện.
Đến cuối ngày hôm qua, chỉ có 5 trên tổng số 24 chương trình bảo mật mà Sana sử dụng mới phát hiện được rootkit.hearse. Tất nhiên, con số này sẽ phải thay đổi khi sự tồn tại của rootkit.hearse được công bố rộng rãi.
Phần lớn thời gian phần mềm Trojan này dùng để trốn chui trốn lủi trong hệ thống, nhưng nó sẽ "ngóc" dậy ngay để liên lạc với máy chủ mỗi khi người dùng truy cập vào website nào đòi hỏi thông tin xác thực. Khi đó, phần mềm này sẽ lén lút ghi lại mật khẩu khi ta gõ vào máy. Kể cả trường hợp mật khẩu được máy tính ghi nhớ tự động bằng công cụ AutoComplete của IE , Trojan này cũng có khả năng "đọc vị".
Tính đến hôm nay, máy chủ tại Nga đã lưu khoảng 35000 username và thông tin đăng nhập để sử dụng trên 7000 website khác nhau, từ ngân hàng, đấu giá cho đến các diễn đàn trực tuyến.
Sana đã thông báo cho nhà cung cấp dịch vụ tại Nga về trường hợp máy chủ này, tuy nhiên đến sáng nay, máy chủ này vẫn hoạt động bình thường.
Thiên Ý (Theo PC World)