Mã độc tấn công Mac OS X có thêm "anh em họ" pdf
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (118.03 KB, 3 trang )
Mã độc tấn công Mac OS X có thêm "anh em họ"
MacShield là một biến thể từ nguyên bản mã độc Mac Defender được phát hiện
vào giữa tháng 5 vừa qua, có chức năng chính là giả mạo chương trình bảo mật
cho hệ điều hành Mac OS X nhưng thực chất lại thâm nhập vào hệ thống, mở
đường cho hàng loạt các loại trojan khác. Trò chơi "mèo vờn chuột" đang diễn ra
giữa tin tặc và Apple. MacShield là biến thể thứ năm sau khi những phiên bản đầu
tiên ra đời bao gồm MacDefender, MacProtector, MacSecurity và gần đây nhất là
biến thể MacGuard có thể tự cài đặt vào hệ thống mà không cần mật khẩu quản
trị.
MacShield không thay đổi nhiều về giao diện ngoài một vài nội dung thông điệp
để đánh lừa người dùng. Tuy nhiên, cái tên MacShield giả mạo một chương trình
bảo mật của hãng Centurion Technologies dành riêng cho hệ điều hành Mac OS X
nên rất dễ gây nhầm lẫn cho người dùng thiếu cảnh giác.
Apple đã chính thức phát hành một bản vá lỗi cho Mac OS X 10.6 (Snow
Leopard) vào ngày 31-5 và chỉ sau 24 giờ, biến thể mới lại xuất hiện. Apple lại
tiếp tục cập nhật bản vá chống biến thể thì chủ nhân mã độc lại nghĩ ra trò mới.
Người dùng được khuyến cáo lưu ý thông tin về biến thể mã độc và cập nhật ngay
những bản vá chính thức do Apple phát hành.
Trên hệ thống Windows 64-bit mở với nhiều mã khai thác, rootkit 64-bit tên
là Rootkit.Win64.Necurs.a này thực thi lệnh “bcdedit.exe -set TESTSIGNING
ON”. Thông thường, đây là lệnh lập trình để thử các trình điều khiển (driver)
trong quá trình phát triển.
Lỗ hổng bị những kẻ viết malware lạm dụng để khiến cho PatchGuard của
Windows không ngăn cản nạp driver rootkit. Sau khi đã được nạp, rootkit có khả
năng ngăn chặn việc nạp chính xác phần mềm chống virus có thể phát hiện và loại
bỏ nó.
Windows PatchGuard - chính thức được biết đến với tên Kernel Patch Protection
(KPP) - là một tính năng thiết kế của các phiên bản Windows 64-bit (bao gồm cả
XP, Vista, Windows 7 và Windows Server) được thiết kế để ngăn chặn malware
phá hoại hệ điều hành ở cấp độ ưu tiên cao nhất.
Theo nhà nghiên cứu Vyacheslav Zakorzhevsky của Kaspersky, malware cũng cố
gắng để tải vềHoax.OSX.Defma.f - chương trình chống virus giả mạo nhắm vào
người sử dụng Mac OS X và không thể chạy trên Windows. Điều này nhấn mạnh
một cách đáng lo ngại rằng, giờ đây các máy Mac cũng không còn an toàn khi mà
malware có thể hoạt động đa nền tảng.
Vụ lây nhiễm này là một trong những vụ tồi tệ nhất đánh vào thị trường di động,
từ lâu vẫn được xem là khá an toàn so với các vụ tấn công mã độc nhắm vào máy
tính.
Vụ tấn công mã độc cũng cho thấy một lợi thế lớn của Android – nền tảng nguồn
mở so với hệ thống đóng của Apple – song cũng là bất lợi lớn nhất của Android,
khi xét đến việc bảo vệ người dùng khỏi các vụ tấn công ảo. Trong khi Apple kiểm
soát các ứng dụng, Google lại cho phép bất kỳ ai tải ứng dụng lên Android
Market.
Các ứng dụng của những nhà phát triển có tên “Kingmall2010″, “we20090202″,
và “Myournet” chứa mã độc DroidDream. Chúng đã bị rút khỏi Android Market.
Công ty bảo mật điện thoại thông minh Lookout đã cập nhật danh sách các ứng
dụng bị gỡ bỏ trên website của hãng.
Một người dùng đã phát hiện ra các mã độc này. Ban đầu, người dùng này phát
hiện ra nhà phát triển của một trong các ứng dụng mã độc đã tải các phiên bản vi
phạm bản quyền của những ứng dụng hợp pháp của nhà phát triển Myournet. Có 2
ứng dụng đáng ngờ đã được tạo ra bằng cách cho phép chúng phá vỡ tính năng
bảo mật sandbox của ứng dụng Android. Những ứng dụng nhiễm mã độc này chứa
mã có thể ăn cắp thông tin nhạy cảm của người dùng.
Những người dùng đã tải các ứng dụng lây nhiễm có thể bị ăn cắp dữ liệu. Vì thế,
Lookout cho biết họ đã thông báo đến người dùng của họ bản phần mềm bảo mật
di động, bảo vệ họ khỏi các vụ tấn công DroidDream.
