Thứ Bảy, 10 tháng 9, 2011

Tin tặc lợi dụng kí tự để trá hình các phần mềm xâm hại vào máy tính

Computerworld- Một công ty an ninh mạng của Séc mới đây cảnh báo tin tặc đang sử dụng một chiêu lừa đảo mới để xâm nhập các file lây nhiễm bằng việc trá hình định dạng tập tin Window làm cho chúng an toàn để tải xuống.
 

Phát hiện mã “Unitrix” nhờ phần mềm Avast đổ lỗi chuẩn Unicode cho một số ngôn ngữ từ phải qua trái như tiếng Ả rập hay Hebrew giúp cải trang các tập tin thực thi được trong Window với đuôi (.exe) thành những tin ảnh định dạng (.jpg) hay văn bản (.doc) tưởng như không nguy hại gì.
Unicode là chuẩn trong công nghiệp máy tính mã hóa các kí tự với vô số mã alpha.
 

Phát hiện Unitrix dùng mã ẩn (U+202E) có thể viết chèn các kí tự từ phải qua trái để hiển thị một tin có thể thực thi thành một dạng hoàn toàn khác. Bằng thủ thuật này các tin tặc có thể đánh lừa tập tin bị lây nhiễm với định dạng đuôi gpj.exe giống một định dạng ảnh_D18727_Collexe.jpg an toàn qua việc đảo ngược 6 kí tự cuối cùng của mẫu tự gốc.
 

Theo người đứng đầu phòng nghiên cứu Avast có nói trong email, “Người dùng chỉ nhìn vào đuôi định dạng các tên tập tin, ví dụ như .jpg cho định dạng hình ảnh. Và chính điều đó là chỗ nguy hiểm. Cách duy nhất họ có thể nhận biết là việc máy tính có hiển thị thêm thông tin chi tiết khắp nơi hay cảnh báo pops up khi họ thử và thực thi tập tin hay không.”
 

Chương trình Internet Explorer 9 của Window sử dụng công nghệ được gọi là "Application Reputation" giúp cảnh báo người dùng khỏi những tập tin có nguy cơ gây nguy hiểm được tải từ trang web.
 

Avast cho rằng phần mềm xâm hại có sử dụng thủ thuật Unitrix - công cụ tải Trojan cơ bản hoạt động như người gác cửa và kiểm soát việc giấu mã gây nguy hiểm-gia tăng số lượng từ tháng trước, đạt mức đỉnh điểm 25000 lượt tấn công mỗi ngày.
 

Những phân tích khác do Avast thực hiện chỉ ra rằng những máy tính cá nhân cài hệ điều hành Window lây nhiễm Trojan trá hình là một phần của mạng lưới tính phí trên từng phần cài đặt được chuyển đến các tội phạm khác đã nuôi sẵn phần mềm gây hại trên các máy móc.
 

Trong một bài viết đăng trên blog của Avast hôm thứ Tư do nhà nghiên cứu thuộc Avast, Lyle Frink có nói, “ Chúng cung cấp các mầm bệnh từ bên ngoài và dịch vụ phân phối các phần mềm nguy hại đến các băng tội phạm mạng khác.. thuần túy căn cứ địa bàn ở Nga và Ukraina.” Ông xác định 3 nhà cung cấp mầm bệnh và cách kiểm soát để chỉ dẫn cho các máy PC bị lây nhiễm có địa bàn ở Trung Quốc, Nga và Mỹ.
 
 
Ông Kubec cho rằng để loại bỏ Unitrix là việc làm khó và gợi ý người dùng nên mở bất kì tài liệu khả nghi nào trong môi trường sandbox. Ví dụ trong Office 2010 khi mở tập tin download trong một sandbox giúp cô lập với bất kì phần mềm nguy hại nào từ Window.
 
 
Hoàng Lan Anh 

Không có nhận xét nào:

Đăng nhận xét