Các chuyên gia của ESET vừa phát hiện ra một loại Trojan đánh cắp dữ liệu mới (USB Thief) được tạo ra thông qua việc sử dụng USB, nhằm xâm nhập và đánh cắp dữ liệu mà không để lại bất kỳ dấu vết gì trên hệ thống của nạn nhân. Loại Trojan USB mới này vô cùng khó theo dõi được thiết kế để nhằm vào những chiến dịch do thám và gián điệp công nghiệp, được nhận dạng là Trojan Win32/PSW.Stealer.NAI

Có thể nói đây là loại Trojan phức tạp nhất tính đến thời điểm hiện tại, nó dùng những thủ tục mã hóa và tự bảo vệ để lây nhiễm tới những mục tiêu và ẩn giấu tránh bị theo dõi .

Độ nguy hiểm và phức tạp hành vi:

Theo ESET, Trojan có liên kết tới mỗi một Flash USB, sử dụng những chi tiết của thiết bị lưu trữ này để là khóa mã để dấu những file độc hại theo thuật toán mã hóa AES-128. Nếu Trojan này bị sao chép sang USB khác hoặc thiết bị lưu trữ truyền  thống sẽ làm ngắt mã hóa và nội dung của file độc hại không thể xác định.

USB Thief được thực hiện để che đậy những hoạt động của nó khi mà kẻ tấn công muốn sử dụng một USB tại một thời điểm để nhắm tới một cá nhân hoặc một tổ chức nào đó.

Khi cắm USB có chứa USB Thief vào máy tính, Trojan đánh cắp dữ liệu như những hình ảnh và tài liệu và lưu trữ chúng dưới dạng mã hóa trên cùng USB. Sau khi USB rút ra khỏi máy tính, nạn nhân hay những điều tra của các chuyên gia không hề có bất kì manh mối nào đã diễn ra bởi vì Trojan không để lại bất kì dấu vết vào phía sau PC bị tấn công.

USB Thief có cơ chế tự động bảo vệ rất khó để theo dõi. Trojan này có bốn file thực thi và hai file cấu hình. Để thực hiện những file này phải chạy theo một trình tự nhất định. Nếu những nhà nghiên cứu an ninh không  biết chính xác thứ tự chạy những file này thì họ không  thể tái tạo được hành vi độc hại.

USB Thief có thể được tích hợp trong một Plugin hoặc những ứng dụng Portable thường được  dùng trong USB như: FireFox, Chrome, TrueCrypt, Notepad++… Tin tặc có thể tìm những cách để phát tán Trojan tới những USB của nạn nhân, giấu trong Plugin hoặc các ứng dụng Portable, và cho phép nạn nhân mang Trojan này tới những hệ thống  cần phải giám sát.

Có vẻ như là các “nhà sản xuất” virus Win32/PSW.Vipgsm.NAI có nhiều kinh nghiệm để đối phó với tất cả các loại phần mềm bảo mật hợp pháp. Win32/PSW.Vipgsm.NAI virus có thể thoát khỏi phát hiện của khá nhiều các phần mềm quét virus danh tiếng, vì vậy nó không có gì ngạc nhiên rằng bạn đang bị tấn công bởi virus khó chịu này ngay cả khi bạn đã cài đặt phần mềm chống virus trong máy tính của bạn.

Win32/PSW.Vipgsm.NAI sử dụng công nghệ rootkit, nó kết nối với internet tự động cập nhật các thành phần liên quan của nó. Đôi khi, nó thậm chí có thể chuyển hướng bạn đến các trang web không liên quan khác. Nghiêm trọng hơn, Win32/PSW.Vipgsm.NAI có thể xóa các tập tin hệ thống, các chương trình hợp pháp quan trọng, mở backdoor hệ thống để cho phép tin tặc truy cập các máy tính bị nhiễm và ăn cắp thông tin cá nhân. Win32/PSW.Vipgsm.NAI là một loại virus Trojan phá hoại All in All - Tất cả trong tất cả, nếu không được loại bỏ ngay lập tức nó chắc chắn là một thảm họa cho toàn hệ thống của bạn.

Triệu chứng lây nhiễm:

Win32/PSW.Vipgsm.NAI có thể tái tạo và lan truyền rộng rãi trong các ổ đĩa ở tốc độ cao.

Win32/PSW.Vipgsm.NAI làm giảm hiệu suất máy tính nghiêm trọng.

Win32/PSW.Vipgsm.NAI có khả năng giữ cập nhật chính nó bằng cách thay đổi tên thư mục và tập tin của mình và thường xuyên để ngăn chặn không bị loại bỏ bằng cách chống virus.

Win32/PSW.Vipgsm.NAI lây nhiễm với rất nhiều phần mềm độc hại đi kèm, phần mềm gián điệp độc hại, ký sinh trùng phần mềm quảng cáo, và tất cả các mối đe dọa máy tính có hại có thể ẩn sâu trong hệ thống của bạn, các quá trình, tập tin và thư mục.

Nhiễm rất nhiều phần mềm quảng cáo và phần mềm gián điệp vào máy tính của bạn

Loại bỏ Win32/PSW.Vipgsm.NAI bằng Phần mềm diệt virus

Như đã đề cập ở trên Win32/PSW.Vipgsm.NAI có thể qua mặt hầu hết các trình diệt virus danh tiếng vì khả năng mã hóa AES-128 của nó và khi hoạt động trên USB nó không để lại dấu vết trên máy tính.

Để loại bỏ Win32/PSW.Vipgsm.NAI bạn có thể chạy các chương trình phòng chống virus như Kapersky,BitDefender, AVG để quét… Hoặc cũng có thể tải về phần mềm YAC tại địa chỉ http://www.yac.mx/dl/596398 sau đó cài đặt và chạy chương trình quét, tuy nhiên mức độ tin cậy cũng như tính triệt để của nó là không nhiều. Có thể bạn vẫn phải “tay không bắt giặc”, tức là loại bỏ Win32/PSW.Vipgsm.NAI bằng tay (phương pháp thủ công)

Loại bỏ Win32/PSW.Vipgsm.NAI bằng tay

Để loại bỏ Win32/PSW.Vipgsm.NAI bằng tay không dùng (tools hay phần mềm quét virus) bạn cần phải có một chút kiến ​​thức kỹ thuật về hệ thống tập tin và các tập tin registry. Nên nhớ rằng mọi can thiệp vào các tập tin registry đều có thể làm hệ thống tồi tệ nghiêm trọng hơn nếu bạn không có các sao lưu cần thiết và cẩu thả. Các bước để diệt bằng tay Win32/PSW.Vipgsm.NAI là:

Bước 1:

Trước hết khởi động lại hệ thống của bạn, nhấn phím F8 sau khi bạn bắt đầu khởi động máy tính để vào chế độ an toàn Safe mode

Sau đó chọn "Safe Mode with Networking" từ cửa sổ tùy chọn nâng cao sử dụng phím mũi tên (chế độ khởi động an toàn có sử dụng mạng).

Bước 2:

Mở thanh tác vụ bằng cách nhấn tổ hợp phím CTRL + ALT + DEL và chấm dứt tất cả các quá trình liên quan đến Win32/PSW.Vipgsm.NAI.

Bước 3:

Mở cửa sổ Registry bằng cách gõ "regedit" trong cửa sổ Run.

Bước 4:

Sao lưu (backup) tập tin registry máy tính của bạn, đề phòng rủi ro

Trong Registry tìm kiếm các khóa registry liên quan đến Win32/PSW.Vipgsm.NAI và xóa tất cả chúng.

Bước 5:

Tìm kiếm tất cả các tập tin liên quan Win32/PSW.Vipgsm.NAI bằng tay trong hệ thống của bạn và xóa chúng.

Một số biện pháp phòng tránh Win32/PSW.Vipgsm.NAI:

Đối với các máy tính chưa bị lây nhiễm có thể áp dụng một số biện pháp gợi ý sau để phòng tránh:

Cần thiết cài đặt một phần mềm phòng chống virus cho máy tính

Hạn chế sử dụng USB, quản lý chặt chẽ các thiết bị sao chép dữ liệu dạng thiết bị lưu trữ ngoài (ổ cứng di động cắm qua đường giao tiếp USB chẳng hạn)

Mã hóa dữ liệu hoặc nén dữ liệu kết hợp đặt mật khẩu cho file nén khi truyền qua Interrnet hoặc email.

Khuyến cáo các cơ quan đơn vị nhà nước phải có ít nhất 01 máy tính không kết nối với Internet hay bất kỳ thiết bị số nào (chỉ kết nối với máy in) để soạn thảo các công văn thuộc danh mục cần bảo vệ bí mật nhà nước.

viết bởi An Mạnh Cường

 

Nhằm giúp các doanh nghiệp nắm được những chính sách hỗ trợ hình thành và phát triển doanh nghiệp khoa học và công nghệ. Ngày  19/9/2013, tại Hội trường Sở Khoa học và Công nghệ Hòa Bình, Sở Khoa học và Công nghệ đã phối hợp với Cục Phát triển Thị trường và  Doanh nghiệp Khoa học và Công nghệ (Bộ KH&CN) tiến hành tổ chức hội thảo "Phát triển doanh nghiệp Khoa học và Công nghệ".