Lượt xem: 4809 | Gửi lúc: 17/09/2012 15:02:34
Bookmark and Share

Virus Ngọn lửa: Độc hại và nguy hiểm

Virus Ngọn lửa được phát triển với mục đích gián điệp, tìm kiếm các bản vẽ AutoCAD, các file PDF và các tập tin văn bản. Virus Ngọn lửa sKyWIper sử dụng 3 kỹ thuật nén và 5 phương pháp mã hóa khác nhau, cho phép các nhà khai thác gắn vào một môđun “giết chết” để loại bỏ tất cả dấu vết các tập tin của nó trên hệ thống.

Theo ước tính của Kaspersky vào tháng 5/2012, virus Ngọn lửa (Flame) đã lây nhiễm khoảng 1.000 máy tính và các thiết bị thông minh khác, các nạn nhân bao gồm cả các tổ chức chính phủ, các tổ chức giáo dục. Các nước bị ảnh hưởng nhiều nhất là Iran, Israel, Sudan, Syria, Lebanon, Saudi Arabia, và Ai Cập.
Virus Ngọn lửa còn được biết với các tên là Flamer, sKyWIper và Skywiper, là môđun phần mềm độc hại tấn công các máy tính chạy hệ điều hành Microsoft Windows. Ban đầu, Virus này được sử dụng cho mục tiêu hoạt động gián điệp trong không gian mạng thuộc các quốc gia Trung Đông. Theo các chuyên gia Trung tâm ứng cứu máy tính khẩn cấp quốc gia (Iran), Kaspersky Lab và phòng thí nghiệm CrySyS của Đại học Công nghệ và Kinh tế Budapest công bố trong báo cáo ngày 28/5/2012 thì sKyWIper là phần mềm độc hại tinh vi nhất, phức tạp nhất từ trước tới nay. Virus Ngọn lửa có thể lây lan sang các hệ thống khác trên mạng nội bộ hoặc thông qua USB. Nó có thể ghi âm thanh, ảnh chụp màn hình, tín hiệu bàn phím hoạt động và lưu lượng mạng; ghi lại cuộc hội thoại Skype; có thể lây nhiễm qua Bluetooth.... 


Các chuyên gia cho rằng, thời điểm virus Ngọn lửa bắt đầu hoạt động trong không gian mạng có thể là từ tháng 2/2010 và các tệp thành phần chính của nó được phát hiện là vào đầu tháng 12/2007. Tuy nhiên, người ta không thể xác định chính xác ngày tạo ra nó. Do độ lớn dung lượng và độ phức tạp của chương trình, virus Ngọn lửa được mô tả phức tạp gấp “hai mươi lần” sâu Stuxnet (đã tấn công vào hệ thống máy tính của nhà máy làm giàu Uranium của Iran năm 2010). Các mã nội bộ của nó có vài điểm tương đồng với các phần mềm độc hại khác, nhưng cách khai thác lỗ hổng bảo mật tương tự như biện pháp lây nhiễm hệ thống được sử dụng cho Stuxnet. Không giống như Stuxnet, được thiết kế để gây thiệt hại một quá trình công nghiệp, virus Ngọn lửa xuất hiện mang mục đích gián điệp, tìm kiếm các bản vẽ AutoCAD, các file PDF và các tập tin văn bản. Virus Ngọn lửa sKyWIper sử dụng 3 kỹ thuật nén và 5 phương pháp mã hóa khác nhau. Nó không chứa môđun xác định ngày tự hủy, nhưng cho phép các nhà khai thác gắn vào một môđun “giết chết” để loại bỏ tất cả dấu vết các tập tin của nó trên hệ thống. Phần mềm độc hại này cũng được phỏng đoán là một dự án song song với dự án Stuxnet, được đầu tư bởi những kẻ có mục đích tấn công tương tự.
Nhận dạng virus Ngọn lửa như sau: khi máy tính bị nhiễm virus này thường xuất hiện tệp ‘~DEB93D.tmp’ hoặc có các mục sau: C:/Program Files/Common Files/Microsoft Shared/ MSSecurityMgr; C:/Program Files/Common Files/Microsoft Shared/MSAudio; C:/Program Files/Common Files/Microsoft Shared /MSAuthCtrl; C:/Program Files/Common Files/Microsoft Shared/MSAPackages; C:/Program Files/Common Files/Microsoft Shared/MSSndMix.
Dung lượng chương trình của virus Ngọn lửa lên tới 20 MB, viết bằng một phần  ngôn ngữ lập trình kịch bản Lua (tiếng Bồ Đào Nha có nghĩa là măt trăng) với biên dịch mã C + +.
Theo hãng bảo mật Symantec, về nguyên tắc, virus Flame không tự động lây lan trừ phi có sự can thiệp và ra lệnh của những kẻ tấn công. Dưới đây là những phương pháp mà tội phạm mạng đã sử dụng để tấn làm lây nhiễm virus này:
- Lợi dụng tính năng chia sẻ mạng để nắm giữ những thông tin quan trọng, trong đó có cả thông tin về Quản trị tên miền.
- Khai thác lỗ hổng Thực thi mã lệnh từ xa cho dịch vụ nạp lệnh in trong Microsoft Windows (Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability – CVE-2010-2729), đã từng được virus Stuxnet sử dụng trước đó.
- Thông qua một thiết bị lưu trữ rời (removable media) có sử dụng tệp tin autorun.inf được viết lại, thủ đoạn này cũng đã được sử dụng bởi Stuxnet.
- Sử dụng các ổ đĩa rời trong đó có 1 thư mục đặc biệt cho phép ẩn các tệp tin. Điều này có thể gây ra khả năng tự thực thi các tệp tin đó khi người dùng hiển thị nội dung trong ổ USB và khi máy tính của người dùng tồn tại lỗ hổng Tự động thực thi tệp tin shortcut LNK/PIF trong Microsoft Windows (Microsoft Windows Shortcut \’LNK/PIF\’ Files Automatic File Execution Vulnerability – CVE - 2010 - 2568), một lỗ hổng đã từng bị khai thác bởi Stuxnet.
Gần đây, người ta còn phát hiện được virus Ngọn lửa đã lây nhiễm nhiều máy tính ở khu vực châu Âu và Bắc Mỹ. Các chuyên gia nhận định, vẫn còn nhiều thủ đoạn khác cần phải có thời gian mới phát hiện ra được để minh chứng cho sự tinh vi, phức tạp, nguy hiểm của virus này

Nguyễn Vinh