Hàng triệu lượt máy tính tại Việt Nam bị nhiễm virus siêu đa hình (Metamorphic Virus), các virus W32.Sality.PE và W32.Vetor.PE liên tục “thống trị” trên bảng thống kê những virus lây nhiễm nhiều nhất. Virus siêu đa hình đã thật sự trở thành nỗi thách thức không chỉ với người sử dụng mà cả với các phần mềm diệt virus.

Virus siêu đa hình là thế hệ “cao cấp” mới của các dòng virus đa hình trước đây. Các virus đa hình là những virus có khả năng tự động biến đổi mã lệnh của chính nó, tạo ra các biến thể khác nhau trong mỗi lần lây nhiễm. Trong khi đó, các loại virus thông thường thì luôn giữ nguyên một loại mã lệnh trong tất cả các lần lây nhiễm, hay nói cách khác chỉ có duy nhất 1 kiểu biến thể. Khả năng “thay hình đổi dạng” này giúp cho virus đa hình có thể lẩn trốn tinh vi trước sự truy quét của các phần mềm diệt virus.

Siêu đa hình là loại virus kết hợp nhiều kiểu đa hình chồng chéo, chúng sử dụng các giải thuật di truyền để tự động lai tạo với nhau, sinh ra các thế hệ virus “con cháu” F1, F2,… Càng lây nhiễm lâu trên máy tính, virus siêu đa hình càng sinh ra nhiều biến thể với độ phức tạp càng cao, khiến cho khả năng nhận dạng và bóc lớp của các phần mềm diệt virus càng khó khăn. Chính vì thế, các virus siêu đa hình hiện nay có thể qua mặt được tất cả các phần mềm diệt virus nổi tiếng nhất trên thế giới.

Theo thống kê từ hệ thống diệt virus siêu đa hình của Bkav, trong năm qua Việt Nam đã có 2,2 triệu lượt máy tính bị nhiễm loại virus này.

W32.Sality.PE một trong những loại virus siêu đa hình

Về mức độ phá hoại, virus siêu đa hình nguy hiểm hơn so với các virus khác. Chúng gây ra các trục trặc nghiêm trọng cho hệ thống, có thể dẫn đến phá hủy dữ liệu, làm giảm mức độ an ninh của hệ thống.

Phần mềm diệt virus giả - Fake AV xuất hiện hàng loạt

Hàng loạt phần mềm diệt virus giả - Fake AV- ra đời trong một thời gian ngắn gây hoang mang cho người sử dụng trên toàn cầu.

Bằng cách gửi email hoặc lợi dụng các công cụ tìm kiếm, hacker dẫn dụ người sử dụng truy cập vào website quét virus trực tuyến giả mạo, có giao diện giống hệt cửa sổ Windows.

Khi đó, người sử dụng sẽ nhận được hàng loạt các thông báo máy tính bị nhiễm virus và được “khuyến cáo” bấm vào một nút để diệt virus. Nếu làm theo “khuyến cáo” giả mạo này là người dùng đã tải về máy tính một phần mềm diệt virus giả.

Phần mềm diệt virus giả mạo

Những phần mềm diệt virus giả mạo này sau khi được cài đặt trên máy sẽ lại liên tiếp thông báo tình trạng nhiễm virus trên máy tính gây hoang mang cho người sử dụng. Không ít người đã phải bỏ tiền mua những phần mềm này với hy vọng có thể xử lý được trục trặc, nhưng thực chất lại là tự bỏ tiền ra mua virus. Và đó là mục đích chính của hacker trong những đợt tấn công sử dụng phần mềm diệt virus giả.

Hệ thống theo dõi virus của Bkis ghi nhận, trong năm qua xuất hiện 744 chương trình giả mạo phần mềm diệt virus với hàng chục nghìn biến thể như W32.FakeAntivirERZ.Adware, W32.FakeSecuritySUI.Adware, W32.FakeAvVbs.Worm hay W32.FakeAVScanAD.Adware... Đã có ít nhất 258.000 máy tính tại Việt Nam bị lừa cài đặt các phần mềm này.

Để phòng tránh, người sử dụng cần hết sức cảnh giác khi truy cập web, không nên tải về bất kỳ phần mềm nào không rõ nguồn gốc.

Xuất hiện những kỹ thuật mới của virus

Trong năm 2009, các loại virus mới không những tăng về mặt số lượng mà còn xuất hiện với cách thức lây lan và phá hoại mới, tinh vi hơn. Theo nghiên cứu của Bkis, có ít nhất 02 kỹ thuật mới được sử dụng để lây lan và phá hoại mà chưa có ở các dòng virus trước đó.

Đầu tiên phải kể đến W32.Induc.PE - Virus lây nhiễm bằng cách tấn công trình biên dịch Delphi. Thay vì lây nhiễm trực tiếp trên các phần mềm ứng dụng, loại virus mới có tên W32.Induc.PE chọn trình biên dịch Borland Delphi (một công cụ lập trình) để làm bàn đạp phát tán. Điều đó có nghĩa là nếu máy tính của lập trình viên bị nhiễm virus W32.Induc.PE thì phần mềm được viết ra trên máy tính đó cũng sẽ bị nhiễm virus. Như vậy, các phần mềm viết bằng Delphi được đưa đến tay người sử dụng có thể đã bị gắn mã độc.

Kế đến là loại Trojan có thể nghe lén các cuộc hội thoại qua Skype. Bất chấp việc Skype cố gắng bảo vệ các dữ liệu của mình bằng cách sử dụng phương pháp mã hóa công khai, một loại malware vừa xuất hiện gần đây có khả năng nghe lén các cuộc hội thoại của người sử dụng dịch vụ voice chat Skype. Phần mềm diệt virus Bkav nhận diện malware này với tên là W32.Peskyspy.Trojan.

Trojan này can thiệp vào quá trình truyền nhận giữa trình điều khiển thiết bị âm thanh và tiến trình của Skype:

Sơ đồ nghe lén của Peskyspy

Bằng cách chèn (inline hook) vào các hàm của DirectX và Multimedia audio controller, W32.Peskyspy.Trojan sẽ kiểm soát được dữ liệu gửi - nhận giữa chương trình Skype và Audio devices. Sau đó nó tiến hành bóc tách dữ liệu âm thanh (audio), nén lại theo chuẩn MP3 rồi gửi về cho hacker.

Mặc dù những virus này mới chỉ xuất hiện ở dạng thử nghiệm, chưa phát tán trên diện rộng hay phá hoại nghiêm trọng, nhưng rất có thể trong năm 2010, các kỹ thuật mới này sẽ được hacker áp dụng triệt để, để tạo ra những virus có mức độ nguy hiểm cao hơn và phát tán rộng hơn.

Số liệu chung về tinh hình virus máy tính trong năm qua

Virus máy tính là vấn đề an ninh mạng nhức nhối nhất trong năm qua, các dòng virus mới vẫn xuất hiện ngày càng nhiều và diễn biến phức tạp. Đã có tới 50.128 dòng virus mới xuất hiện trong năm, gấp 1,5 lần so với năm 2008 và gấp 7 lần so với năm 2007. Các virus này đã lây nhiễm trên 64,7 triệu lượt máy tính, trong đó lây nhiều nhất là dòng virus siêu đa hình W32.SalityVF.PE đã lây nhiễm trên 483.000 máy tính.

Danh sách 15 virus lây nhiều nhất trong năm 2009

Một số dự báo tình hình virus tại Việt Nam năm 2010

Năm 2010, virus sẽ tiếp tục xuất hiện hằng ngày với số lượng ngày càng tăng, đặc biệt là các virus nguy hiểm như virus siêu đa hình, virus ghi đè file chuẩn của hệ điều hành. 2010 cũng sẽ là năm chứng kiến sự tăng đột biến của các chương trình diệt virus giả mạo, nhắm vào sự lơ là mất cảnh giác của người sử dụng. Khi việc tấn công trực diện vào máy tính của người dùng bằng các kỹ thuật trở nên khó khăn hơn, hacker sẽ tấn công bằng các thủ thuật lừa đảo. Chẳng hạn như khi Microsoft đưa ra cơ chế UAC (User Account Control) tương đối chặt chẽ, với khả năng đảm bảo an ninh cao và mọi quyết định thực thi trên máy tính sẽ thuộc về người sử dụng thì lập tức xuất hiện các virus giả mạo các thông báo của Windows 7 để lừa người sử dụng thực thi mã độc.

Điện thoại di động sẽ là đích nhắm mới của giới tội phạm, đặc biệt là khi mạng 3G bắt đầu được đưa vào hoạt động tại Việt Nam. Trong năm 2010 sẽ có nhiều cuộc tấn công lừa đảo và phát tán mã độc trên điện thoại di động tại Việt Nam. Tình trạng này đã diễn ra ở nhiều nước có mạng không dây băng rộng và 3G phát triển.

Xét về mức độ nguy hiểm thì bị tấn công qua điện thoại di động nguy hiểm gấp nhiều lần so với bị tấn công qua máy tính và mạng Internet vì tâm lý người sử dụng luôn nghĩ rằng, điện thoại là vật dụng rất cá nhân, lại luôn nằm trong tay mình nên không có ý thức cảnh giác với thiết bị này. Trong khi đó, khi có 3G, rất nhiều dữ liệu mật thiết, quan trọng lại được lưu giữ, cập nhật và giao dịch trên chính điện thoại di động như các dữ liệu về tài chính, thông tin riêng tư...

Luật Hình sự sửa đổi chính thức có hiệu lực từ 1/1/2010 sẽ tạo ra hành lang pháp lý để xử lý hình sự những kẻ phát tán virus máy tính. Nếu như các vụ việc phát tán virus trước đây, chỉ bị xử phạt hành chính, thì năm 2010 hành vi này có thể bị truy tố hình sự và bị phạt tù từ 1 đến 12 năm.

Bkis