Nếu bị nhiễm loại virus mới này, cơ hội phục hồi dữ liệu của bạn là 0%

Thời gian gần đây, thế giới xôn xao về chủng virus Corona mới gây bệnh viêm đường phổi (nCoV – 2019) khởi phát mới đầu từ phố xá Vũ Hán, Trung Quốc, và vẫn đang sẵn có diễn biến cực kì phức tạp ở không ít quốc gia và vùng lãnh thổ khác nhau. Trùng hợp thay, lĩnh vực an ninh mang cũng vừa ghi nhận sự xuất hiện của một loại virus máy tính mới vô cùng nguy hiểm. Nếu như bệnh nhân nhiễm nCoV vẫn có cơ hội chữa khỏi cao, thì hệ thống máy tính bị nhiễm loại virus mới này gần như chẳng thể phục hồi lại dữ liệu.

Virus máy tính và sâu độc hại (worm) từng là những tác nhân độc hại thông dụng một thời, nhưng giờ đã nhường chỗ cho những mối dọa dẫm tinh vi và đa chủng loại hơn, kể cả các công cụ khai thác tiền điện tử bất hợp pháp, Trojans, ransomware và ứng dụng quan sát phức tạp được thiết kế để xâm nhập vào các thiết bị di động.

Tuy nhiên khi virus tái xuất, nó sẽ rất đáng sợ. Trường hợp này đúng với KBOT, một loại virus mới được phát hiện bởi các nhà nghiên cứu đến từ đội ngũ Kaspersky.

KBOT có thể lan truyền qua các hệ thống truy cập Internet, mạng cục bộ và ổ hdd di động. Khi một hệ thống bị lây nhiễm, virus sẽ tự ghi nó vào Startup và Task Scheduler, lan truyền đến tất cả những tệp. exe trên hệ thống và các thư mục mạng được chia sẻ trong đường dẫn của nó.

Trong quá trình quét các ổ đĩa trên hệ thống, virus sẽ đính kèm mã đa hình vào các tệp. exe và chức năng ghi đè của giao diện IWbemObjectSink, một tính năng cơ bản của phần mềm Win32. Ngoài ra KBOT cũng cũng đều có thể nhận diện mọi kết nối giữa các ổ đĩa và sử dụng các hàm API NetServerEnum và NetShareEnum nhằm truy xuất những đường dẫn đến các tài nguyên mạng khác để lây truyền mã độc.

Nguy hiểm hơn, KBOT sử dụng 1 loạt các công cụ và kỹ thuật phức tạp để che giấu hoạt động của nó, bao gồm mã hóa chuỗi RC4, quét các DLL liên quan đến phần mềm chống virus để vô hiệu hóa chúng và tiêm mã vào các quy trình đang chạy hợp lệ.

Không chỉ can thiệp vào các tệp. exe, phần mềm độc hại sẽ gắng gượng đánh cắp dữ liệu cá nhân của nạn nhân, cũng có thể bao gồm thông tin đăng nhập được dùng để truy cập các dịch vụ tài chính và ngân hàng trực tuyến. Sử dụng các trang web giả mạo là phương pháp ưa thích của KBOT và để làm như vậy, virus sẽ can thiệp vào mã của trình duyệt, cũng như mã của các chức năng hệ thống có nhiệm vụ giải quyết lưu lượng.

Tất nhiên trước khi đánh cắp dữ liệu của nạn nhân, virus sẽ phải thiết lập một liên kết đến máy server chỉ đạo và khống chế (C2) của nó, trong đấy các tên miền liên quan được lưu giữ trong tệp hosts.ini. Cấu hình và tham số kết nối C2 được mã hóa và sẽ gửi ID bot, tên máy tính, hệ điều hành và danh sách dữ liệu người dùng cục bộ cũng như phần mềm bảo mật mà người ta đã cài đặt trên hệ thống.

Các lệnh C2 kể cả xóa và cập nhật tệp, hướng dẫn cập nhật các mô-đun bot hoặc thi hành tự hủy. Ngoài ra KBOT cũng cũng đều có thể tải xuống các mô-đun phần mềm độc hại bổ sung thu thập dữ liệu người dùng kể cả tin tức đăng nhập, tệp, thông tin hệ thống và dữ liệu liên quan đến ví tiền điện tử.

Với toàn bộ đặc tính trên, KBOT được đánh giá là một chủng virus máy tính mới cực kì nguy hiểm. Các chuyên gia an ninh mạng ngoài nước đang theo dấu sát sao mã độc và phương án đối phó sẽ sớm được mang ra trong thời gian tới.

Từ khóa bài viết: truongthinh.info, mã độc KBOT, virus máy tính KBOT, virus máy tính mới, KBOT, phần mềm độc hại, an ninh mạng, tấn công mạng, virus đánh cắp dữ liệu, virus KBOT

Bài viết Nếu bị nhiễm loại virus mới này, cơ hội phục hồi dữ liệu của bạn là 0% được tổng hợp và biên tập bởi: truongthinh.info. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho truongthinh.info để điều chỉnh. truongthinh.info xin cảm ơn.