Tìm thấy rootkit mới khó phát hiện hơn

Các chuyên gia bảo mật cho biết vừa xuất hiện một loại virus máy tính dạng ngựa Trojan có khả năng ẩn nấp tốt hơn và họ khẳng định sự kiện này đã mở ra một chương mới trong cuộc chiến chống lại tin tặc.

Loại phần mềm phá hoại này được hãng Symantec đặt tên là "Rustock", còn hãng F-Secure của Phần Lan gọi là "Mailbot.AZ". Symantec và F-Secure cho biết, nó được tạo ra với các kỹ thuật "rootkit" nhằm lẩn tránh sự phát hiện của các phần mềm bảo mật.

Bà Elia Florio, một kỹ sư bảo mật của Symantec viết trong một bản tin: "Loại virus này có thể được coi như phiên bản đầu tiên của thế hệ rootkit tiếp theo. Rustock.A bao gồm những kỹ thuật cũ và những ý tưởng mới được kết hợp với nhau để tạo ra một phần mềm phá hoại có khả năng trở nên vô hình trước những chương trình phát hiện rootkit đang được sử dụng phổ biến hiện nay".

Rootkit đang được xem như một mối đe dọa mới. Chúng thường được dùng để sửa đổi hệ thống nhằm che giấu các phần mềm phá hoại. Trong trường hợp Rustock (Mailbot.AZ), công nghệ rootkit được dùng để che giấu một loại Trojan. Symantec cho biết khi lây nhiễm vào một hệ thống máy tính, Trojan này sẽ mở một cổng hậu và giúp tin tặc chiếm quyền điều khiển hệ thống.

Theo ông Craig Schmugar, giám đốc nghiên cứu virus của McAfee, trong cuộc chạy đua với các hãng phần mềm bảo mật, những tác giả của loại rootkit này, được McAfee gọi là PWS-JM, dường như đã xem xét rất kỹ lưỡng cơ chế làm việc của các công cụ phát hiện virus trước khi tạo ra mã phá hoại của chúng.

Ông nói: "Các công ty bảo mật đang tìm cách đi trước tin tặc một bước, nhưng những công nghệ từ các hãng này đã bị rò rỉ tới tay các tin tặc. Một số kỹ thuật đã được kết hợp để tăng sức mạnh và độ phá hoại của những phần mềm phá hoại".

Bà Florio cho biết, sự pha trộn giữa những phương pháp ẩn nấp đã giúp cho Rustock "hoàn toàn vô hình trên một hệ thống máy tính khi nó được cài đặt", kể cả trên những máy tính sử dụng phiên bản thử nghiệm hệ điều hành Windows Vista. Bà nói: "Chúng tôi coi nó như một thí dụ tiên tiến của việc thiết kế những mã lệnh phá hoại tàng hình".

Để tránh sự phát hiện, Rustock không hề chạy bất cứ tiến trình hệ thống nào mà sử dụng mã của nó bên trong một trình điều khiển và lõi virus. Nó cũng sử dụng những luồng dữ liệu luân phiên thay vì các file ẩn và tránh sử dụng các giao diện chương trình ứng dụng. Các công cụ phát hiện ngày nay thường xem xét các tiến trình hệ thống, các file ẩn và những móc nối vào các hàm API.

Rustock cũng vô hiệu hóa khả năng kiểm tra sự toàn vẹn một số cấu trúc lõi của các chương trình phát hiện rootkit và nỗ lực của các chương trình này trong việc phát hiện những trình điều khiển ẩn, bà Florio viết. Hơn nữa, trình điều khiển SYS mà rootkit sử dụng rất đa dạng.

Mặc dù vậy, các chuyên gia cho rằng khả năng loại rootkit mới cùng với Trojan mà nó che giấu tấn công vào hệ thống máy tính của người dùng là rất nhỏ. Ông Schmugar nói: "Người ta nhắc tới nó không phải bởi nó quá phổ biến, mà là tới những thách thức mà nó đặt ra cho những công cụ phát hiện rootkit hiện nay". Cả Symantec và F-Secure cũng tuyên bố rằng loại phần mềm phá hoại này chưa lan rộng.

F-Secure đã cập nhật khả năng phát hiện phiên bản Rustock hiện thời vào công cụ phát hiện rootkit BlackLight của họ. Còn Symantec và McAfee vẫn còn đang nghiên cứu các công cụ phát hiện và loại bỏ rootkit khỏi các hệ thống máy tính.