Virus AutoRun đã xuất hiện trở lại
14:00, 21/06/2013
Thời gian gần đây đã xuất hiện một số mẫu Worms được viết trên nền tảng ngôn ngữ JavaScript và VB Script, các chuyên gia đã phát hiện chúng thông qua phương pháp phân tích cổ điển như đã thực hiện với HEUR:Worm.Script.Generic, HEUR:Worm.Java.Generic.

Cả hai loại Worms vừa được phát hiện đều có các tính năng hoạt động chung như xáo trộn cấu trúc nhằm che dấu hoạt động của chúng để tránh bị phát hiện, âm thầm tải, cài đặt các phần mềm độc hại vào máy tính cùa nạn nhân, và lây lan tự động. Sau khi xâm nhập máy tính, cả hai Worms sẽ tự sao chép và cấu hình tập tin autorun.inf vào thư mục gốc của các thiết bị lưu trữ di động và ổ đĩa ngoài. Khi các thiết bị này được kết nối với các máy tính khác chúng sẽ tự động lây nhiễm vào hệ điều hành và tiếp tục thực hiện các hành động nguy hiểm như đã thực hiện ở những lượt lây nhiễm trước đó.

Worm.Java.AutoRun sẽ tự động triển khai cơ cấu hoạt động trên máy tính cảu nạn nhân như sau
1_ Tự động thay đổi tên sau mỗi lượt lây nhiễm và vị tri cái đặt tại thư mục tạm thời “% TEMP% \ jar_cache * .tmp”
2_ Tự động cấu hình để khởi động tập tin Autorun.inf mỗi khi các thiết bị lưu trữ di động hoặc ổ đĩa ngoài được kết nối với máy tính và được truy cập.
3_ Tự động sao chép tập tin .dll vao thư mục tạm thời tại “% TEMP% \ hsperfdata_% USERNAME% \” để thúc đẩy quá trình lây lan.
4_ Lợi dụng tập tin thực thi Java.exe đã được cài đặt sẵn trên máy tính bị nhiễm để đảm bảo rằng chúng luôn có thể tự động kết nối với bộ nhớ và kết hợp với tập tin .dll bên trên để liên kết với một tiến trình hệ thống như Winlogon, CSRSS hoặc các dịch vụ nhằm tránh bị phát hiện thông qua việc sử dụng các thông số đăng ký của phần mềm Java để được xem như một công cụ chính thức.

Sau khi lây nhiễm và thực hiện thành công các bước cấu hình như đã mô tả bên trên, Worm.Java.AutoRun sẽ thực hiện các hành động nguy hiểm khác trên máy tính của nạn nhân để tiếp tục các bước lây lan hoặc kết nối với máy chủ để nhận các nhiệm vụ khác từ các nhóm tội phạm mạng. Worm.Java.AutoRun được phát tán nhiều ở Ấn Độ và Malaysia.

Worm.JS.AutoRun không chỉ thực hiện các phương pháp lây nhiễm như Worm.Java.AutoRun mà còn xấm chiếm luôn các tính năng chia sẻ tập tin, thư mục, và tính năng ghi đĩa CD/DVD. Sau khi lây nhiễm và nhân bản chính nó trên hệ thống của nạn nhân, Worm.JS.AutoRun thực hiện luôn việc kiểm tra hệ thống xem là đang hoạt động trên máy ảo hay thật, nếu được cài đặt trên máy tính thật nó sẽ thực hiện lệnh tìm kiếm hoạt động của các chương trình chống Virus nhằm vô hiệu hoá các chức năng bảo vệ. Ngoài ra, Worm.JS.AutoRun cũng thực hiện hành vi thay đổi tên sau mỗi lượt lây lan, nhân bản chính nó và hiện tại đang phát triển mạnh tại Đông Nam Á như Việt Nam và Indonesia.

Với cấu tạo đặc biệt và cơ cấu hoạt động khá phức tạp như đã mô tả bên trên Worm.Java.AutoRun, Worm.JS.AutoRun cũng được xem là một định dạng Worms siêu đa hình mới, và cả hai đang có chiều hướng phát triển mạnh mẽ theo chiuề hướng tỳ lệ thuận với cơ cấu hoạt động ngày càng phức tạp hơn. Do đó, bạn hãy luôn cập nhật các bản vá lỗ hổng bảo mật cho hệ điều hành và nâng cấp phiên bản mới cho chương trình chống Virus, cập nhật giữ liệu nhận dạng, vô hiệu hoá tính năng AutoPlay của hệ thống và hãy kiểm tra thật kỹ nguồn gốc các ứng dụng lạ trước khi cài đặt vào máy tính để bảo vệ sự riêng tư cá nhân và tránh những tính huống không mong muốn xảy ra với máy tính.
Quang Đức