Trong tháng 4 vừa qua rootkit nguy hiểm chuyên đánh cắp các tài khoản cá nhân tại các ngân hàng với tên gọi MaOSRootkit đã quay trở lại với một loạt biến thể mới. Thống kê sơ bộ cho thấy rootkit này đã đánh cắp thành công hàng trăm nghìn tài khoản cá nhân và hiện đang lây nhiễm nhanh đến mạng máy tính ở Việt Nam, CMC InfoSec cảnh báo ngày 6.5.

MaOSRootkit (hay còn gọi là Mebroot) là một loại rootkit đặc biệt, lây nhiễm rất sâu vào hệ thống, ở mức Master Boot Record (MBR) – sector đầu tiên trên ổ cứng của hệ thống. MaOSRootkit sẽ chỉnh sửa hệ thống ngay sau khi hệ điều hành được khởi động, đồng thời tác động vào các thành phần trọng yếu của hệ thống để đánh lừa các phần mềm diệt virus. Kỹ thuật này khiến cho hầu hết các phần mềm diệt virus không thể thấy được sự hoạt động của nó, và đương nhiên nó trở thành “vô hình” với các phần mềm bảo mật, kể cả các tường lửa cá nhân như Zone Alarm, KIS, Outpost …

Theo nghiên cứu của trường Đại Học California (Mỹ) công bố ngày 04/05/2009: “Chỉ với 10 ngày theo dõi MaOSRootkit bootnet, đã có 8.310 tài khoản ngân hàng, 1.235.122 mật khẩu Windows, 100.472 tài khoản SMTP, 415.206 tài khoản POP, 411.039 tài khoản HTTP và 1.258.862 tài khoản mail bị đánh cắp.”

MaOSRootkit có khả năng lây nhiễm và hoạt động ổn định trên tất cả các HĐH Windows đặc biệt là Windows XP. Theo đánh giá của các chuyên gia thì rootkit này được viết rất chuyên nghiệp, tính ổn định cao và ăn rất sâu vào hệ thống. Bản thân loại mã độc này có khả năng tương tác và thực hiện các tác vụ như gửi thông tin ra bên ngoài, download file, v.v.. mà không cần thông qua các dịch vụ của HĐH. Một khi MaOSRootkit nhiễm vào hệ thống, chúng bắt đầu đánh cắp thông tin.

Được biết, CMC CodeWalker có thể hoạt động độc lập hoặc tích hợp sẵn trong phần mềm CMC Antivirus hoặc CMC Internet Security phiên bản mới, được phát triển với khả năng phát hiện những biến thể mới nói trên. Công cụ này sẽ phát hiện sự lây nhiễm cũng như hoạt động của chúng và thông báo tới người dùng.
Người dùng có thể download CMC CodeWalker tại trang CMC InfoSec: [You must be registered and logged in to see this link.]

Ông Nguyễn Phố Sơn, tác giả CMC CodeWalker cho biếtthêm: “Từ ngày 31/03 cho đến nay, nhóm tội phạm đứng sau MaOSRootkit liên tục triển khai các chiến dịch lây lan biến thể mới. Trung bình cứ một tuần chúng lại đưa ra một đợt tấn công trên diện rộng. MaOSRootkit được triển khai giống hệt như phát triển phần mềm: có giai đoạn alpha, beta, release candidate, ứng dụng đại trà và cập nhật. Các biến thể mới luôn được nâng cấp đều đặn, bổ sung tính năng che giấu bản thân cao cấp và ổn định hơn các biến thể trước”. Hiện tại, nhiều công cụ bảo mật nổi tiếng khác trên thế giới vẫn chưa thể phát hiện được những biến thể mới của MaOSRootkit.

CMC InfoSec khuyến cáo người dùng hãy cập nhật đầy đủ bản vá cho các trình duyệt web, đồng thời thường xuyên kiểm tra máy tính và quét hệ thống bằng CodeWalker.