Thận trọng với mã độc ẩn náu trong Registry của Windows

Hãng bảo mật Trend Micro đưa ra cảnh báo hãng vừa phát hiện được một loại mã độc mới, có tên mã là Poweliks với khả năng ẩn mình trong chương trình Registry của Windows để đánh cắp thông tin cá nhân người dùng.

Thận trọng với mã độc ẩn náu trong Registry của Windows

Tin tặc luôn thực hiện nhiều phương pháp mới để tấn công người dùng

Để lây nhiễm một hệ thống, Poweliks lây lan qua email thông qua một tài liệu Microsoft Word và sau đó, nó tạo một cơ chế tự khởi động mà bị phát hiện. Để tạo ra một cơ chế tự khởi động, các phần mềm độc hại sẽ tạo ra registry ở dạng non-ASCII, khi đó Windows Regedit không thể đọc hoặc mở các mục thanh ghi non-ASCII này.

Non- ASCII là một công cụ mà Microsoft đã tạo ra và sử dụng để che giấu mã nguồn, nó cho phép sao chép hoặc giả mạo, tuy nhiên tính năng này hiện nay đã bị bẻ khóa.

Mã độc này sẽ tiếp tục tấn công vào PowerShell của Windows (là một chương trình quản lý bằng dòng lệnh giống như CMD được xây dựng dựa trên .NET framework của Microsoft). Khi đã xâm nhập thành công,Poweliks có thể tự cài đặt các phần mềm gián điệp trên máy tính bị nhiễm để thu thập thông tin, tài liệu cá nhân của người sử dụng.

Bên cạnh đó, Poweliks còn có thể tạo ra các Trojan banking để ăn cắp tiền khi nguời dùng giao dịch ngân hàng hoặc biến máy tính người dùng thành một hệ thống mạng botnet.

Phó chủ tịch Trend Micro – ông Mark Nunnikhoven – cho biết Poweliks ngoài tính năng cơ bản là đánh cắp dữ liệu thì kỹ thuật ẩn náu tránh bị phát hiện của mã độc này có thể được tận dụng trong các cuộc theo dõi trực tuyến mức độ nguy hiểm hơn.

Với loại mã độc mới này, SecurityDaily đã phân tích các biến thể của mã độc này và phát hiện mã độc đang được sử dụng trong trong rất nhiều cuộc tấn công bằng cách phát tán các tập tin .doc với những lời mời chào, dụ dỗ qua email để người dùng tải về và mở bằng Microsoft Office. Poweliks đã khai thác lỗ hổng CVE-2012-0158, một lỗ hổng nguy hiểm ảnh hưởng đến các sản phẩm của Microsoft như Microsoft Office.

SecurityDaily khuyến cáo người dùng nên thận trọng khi nhận được được các địa chỉ email không rõ nguồn gốc. Nếu trong email có các dữ liệu đính kèm, người dùng không nên mở trên máy mà nên sử dụng Google Docs để mở. Ngoài ra có thể xác thực tình an toàn của tập tin bằng các phần mềm diệt virus, tuy nhiên bạn nên lựa chọn virus total để tăng tính đầy đủ cho việc phát hiện mã độc này.

 

Bình luận

Từ khóa: