Báo laodong điện tử tin tức thời sự cập nhật liên tục

MaOSRootkit, hệ điều hành độc hại

MaOSRootkit (hay còn gọi là Mebroot) là một loại rootkit đặc biệt, lây nhiễm rất sâu vào hệ thống, ở mức Master Boot Record (MBR) – sector đầu tiên trên ổ cứng của hệ thống. MaOSRootkit sẽ chỉnh sửa hệ thống ngay sau khi hệ điều hành được khởi động, đồng thời tác động vào các thành phần trọng yếu của hệ thống để đánh lừa các phần mềm diệt virus.

Kỹ thuật này khiến cho hầu hết các phần mềm diệt virus không thể thấy được sự hoạt động của nó, và đương nhiên nó trở thành “vô hình” với các phần mềm bảo mật, kể cả các tường lửa cá nhân như Zone Alarm, KIS, Outpost …

MaOSRootkit có khả năng lây nhiễm và hoạt động ổn định trên tất cả các HĐH Windows đặc biệt là Windows XP. Theo đánh giá của các chuyên gia, rootkit này được viết rất chuyên nghiệp, tính ổn định cao và ăn rất sâu vào hệ thống. 

“MaOSRootkit được triển khai giống hệt như phát triển phần mềm: có giai đoạn alpha, beta, release candidate, ứng dụng đại trà và cập nhật. Các biến thể mới luôn được nâng cấp đều đặn, bổ sung tính năng che giấu bản thân cao cấp và ổn định hơn các biến thể trước”, ông Nguyễn Phố Sơn tác giả CMC CodeWalker cho biết.

Phiên bản alpha và beta của MaOSRootkit đầu tiên đã được phát hiện vào tháng 12.2007.

Bản thân loại mã độc này có khả năng tương tác và thực hiện các tác vụ như gửi thông tin ra bên ngoài, download file, v.v..  mà không cần thông qua các dịch vụ của HĐH.

Khi MaOSRootkit nhiễm vào hệ thống, chúng bắt đầu đánh cắp thông tin. MaOSRootkit được ví như là "Hệ điều hành Malware (Malware OS) chạy bên trong hệ điều hành Windows". 

Sức mạnh của siêu trộm

“Từ 31.03, nhóm tội phạm đứng sau MaOSRootkit liên tục triển khai các chiến dịch lây lan biến thể mới. Trung bình cứ một tuần chúng lại đưa ra một đợt tấn công trên diện rộng” ông Sơn nói.

Mục tiêu chính của MaOSRootkit nhắm tới chính là các tài khoản cá nhân ở ngân hàng, đồng thời biến các máy tính nạn nhân thành zombie trong mạng botnet và hacker nắm toàn quyền đối với máy bị nhiễm.

“MaOSRootkit đã lây nhiễm khoảng 180 nghìn máy với 1,2 triệu IP trên thế giới và Mỹ là nước có mức độ lây nhiễm mạnh nhất”, ông Nguyễn Phố Sơn tiết lộ.

Theo nghiên cứu của trường Đại Học California (Mỹ) công bố ngày 04.05, qua 10 ngày theo dõi MaOSRootkit bootnet, đã có 8.310 tài khoản ngân hàng, 1.235.122 mật khẩu Windows, 100.472 tài khoản SMTP, 415.206 tài khoản POP, 411.039 tài khoản HTTP và 1.258.862 tài khoản mail  bị đánh cắp.

“Đã có hàng nghìn website được dựng lên để phát tán loại mã độc nguy hiểm này. Ngoài ra, rất nhiều loại sâu máy tính khác được thiết lập để tải rootkit này về máy của người dùng” – ông Nguyễn Phố Sơn cho biết.