-
06/07/2013
-
797
-
1.308 bài viết
VNCERT cảnh báo virus giả mạo Thumbnail trên Windows
Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) vừa cảnh báo các cơ quan nhà nước, các ISP về mã độc (virus) giả mạo Thumbnail trên Windows. Các hệ điều hành từ Windows Vista về sau đều có thể là mục tiêu tấn công của loại mã độc này.
Đại diện VNCERT cho biết, cảnh báo về mã độc giả mạo Thumbnail trên Windows mới được cơ quan này gửi tất cả các thành viên mạng lưới điều phối, ứng cứu sự cố Internet Việt Nam vào cuối tháng 4/2015.
Được biết, hiện mạng lưới điều phối, ứng cứu sự cố Internet Việt Nam có khoảng hơn 100 thành viên, gồm cơ quan điều phối; đơn vị chuyên trách về CNTT của các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ; Sở TT&TT các tỉnh, thành phố trực thuộc Trung ương; các doanh nghiệp cung cấp dịch vụ Internet Việt Nam (ISP) và Trung tâm Internet Việt Nam (VNNIC).
VNCERT, bên cạnh hình thức giả mạo các tệp tin tài liệu làm thành phần trung gian để cài mã độc vào máy người dùng thì việc giả mạo các biểu tượng thông thường (Icon) của tệp tin tài liệu nhằm che dấu kiểu tệp tin thực thi (.exe, .com, .dll…) đã được tin tặc sử dụng và đã bị ghi nhận trước đây.
Do nhận thức người dùng đã tốt hơn nên việc giả mạo theo cách này bắt đầu giảm hiệu quả, tin tặc đã bắt đầu sử dụng một cách thức mới là giả mạo lược ảnh (Thumbnail) của tệp tin để lừa người dùng chạy các tệp tin mã độc. Tất cả các hệ điều hành từ Windows Vista trở về sau có thể là mục tiêu tấn công của loại mã độc giả mạo Thumnail này.
Phân tích về cách thức giả mạo của mã độc che dấu qua Thumbnail Previews (một tùy chọn của Window Explorer trên các hệ điều hành từ Window Vista trở về sau), VNCERT cho hay, theo chế độ mặc định, hệ điều hành luôn chọn sẵn các chế độ hiển thị biểu tượng tệp tin đi kèm và ẩn phần đuôi mở động của tệp tin được sử dụng, do đó sẽ có một biểu tượng Icon ở trên Thumbnail và không có phần mở rộng của tệp tin. Chính vì vậy, người sử dụng thông thường sẽ căn cứ vào biểu tượng Icon ở trên Thumbnail để nhận biết loại tệp tin.
“Đây chính là kẽ hở mà tin tặc lợi dụng để giả mạo lừa người sử dụng. Trung tâm Điều phối ứng cứu sự cố khẩn cấp máy tính Nhật bản đã ghi nhận được một số mẫu mã độc dạng này”, VNCERT nhấn mạnh.
Cũng theo cảnh báo của VNCERT, nhận thấy đây có thể là một xu hướng mới để ngụy trang cho các tệp tin độc hại của tin tặc, VNCERT khuyến cáo các thành viên mạng lưới thực hiện hướng dẫn tới người dùng máy tính trong địa bàn mình về loại mã độc này để cảnh giác.
Cụ thể là, người dùng máy tính cần chú ý và cảnh giác khi tải và mở các tệp tin trên Internet đặc biệt là các tệp tin đính kèm qua thư điện tử; nên bật tùy chọn hiện thị phần đuôi tệp tin để dễ dàng quan sát các tệp tin mình sẽ mở.
Khi mở tệp tin theo kiểu chạy tự động hay chạy trực tiếp (nhấn đúp chuột, nhấn phím enter…), người dùng cần đặc biệt quan tâm đến loại tệp tin, nếu phát hiện các tệp tin bất thường loại này (ví dụ như tệp tin ứng dụng thực thi nhưng lại có biểu tượng của Word, PDF…) thì nhanh chóng báo về cho các cơ quan chức năng để phối hợp xử lý.
|
Theo dự báo của các chuyên gia an ninh mạng Bkav, nguy cơ từ mã độc là một trong ba xu hướng lớn của an ninh mạng năm 2015 (Ảnh minh họa. Nguồn: Internet) |
Đại diện VNCERT cho biết, cảnh báo về mã độc giả mạo Thumbnail trên Windows mới được cơ quan này gửi tất cả các thành viên mạng lưới điều phối, ứng cứu sự cố Internet Việt Nam vào cuối tháng 4/2015.
Được biết, hiện mạng lưới điều phối, ứng cứu sự cố Internet Việt Nam có khoảng hơn 100 thành viên, gồm cơ quan điều phối; đơn vị chuyên trách về CNTT của các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ; Sở TT&TT các tỉnh, thành phố trực thuộc Trung ương; các doanh nghiệp cung cấp dịch vụ Internet Việt Nam (ISP) và Trung tâm Internet Việt Nam (VNNIC).
VNCERT, bên cạnh hình thức giả mạo các tệp tin tài liệu làm thành phần trung gian để cài mã độc vào máy người dùng thì việc giả mạo các biểu tượng thông thường (Icon) của tệp tin tài liệu nhằm che dấu kiểu tệp tin thực thi (.exe, .com, .dll…) đã được tin tặc sử dụng và đã bị ghi nhận trước đây.
Do nhận thức người dùng đã tốt hơn nên việc giả mạo theo cách này bắt đầu giảm hiệu quả, tin tặc đã bắt đầu sử dụng một cách thức mới là giả mạo lược ảnh (Thumbnail) của tệp tin để lừa người dùng chạy các tệp tin mã độc. Tất cả các hệ điều hành từ Windows Vista trở về sau có thể là mục tiêu tấn công của loại mã độc giả mạo Thumnail này.
Phân tích về cách thức giả mạo của mã độc che dấu qua Thumbnail Previews (một tùy chọn của Window Explorer trên các hệ điều hành từ Window Vista trở về sau), VNCERT cho hay, theo chế độ mặc định, hệ điều hành luôn chọn sẵn các chế độ hiển thị biểu tượng tệp tin đi kèm và ẩn phần đuôi mở động của tệp tin được sử dụng, do đó sẽ có một biểu tượng Icon ở trên Thumbnail và không có phần mở rộng của tệp tin. Chính vì vậy, người sử dụng thông thường sẽ căn cứ vào biểu tượng Icon ở trên Thumbnail để nhận biết loại tệp tin.
“Đây chính là kẽ hở mà tin tặc lợi dụng để giả mạo lừa người sử dụng. Trung tâm Điều phối ứng cứu sự cố khẩn cấp máy tính Nhật bản đã ghi nhận được một số mẫu mã độc dạng này”, VNCERT nhấn mạnh.
Cũng theo cảnh báo của VNCERT, nhận thấy đây có thể là một xu hướng mới để ngụy trang cho các tệp tin độc hại của tin tặc, VNCERT khuyến cáo các thành viên mạng lưới thực hiện hướng dẫn tới người dùng máy tính trong địa bàn mình về loại mã độc này để cảnh giác.
Cụ thể là, người dùng máy tính cần chú ý và cảnh giác khi tải và mở các tệp tin trên Internet đặc biệt là các tệp tin đính kèm qua thư điện tử; nên bật tùy chọn hiện thị phần đuôi tệp tin để dễ dàng quan sát các tệp tin mình sẽ mở.
Khi mở tệp tin theo kiểu chạy tự động hay chạy trực tiếp (nhấn đúp chuột, nhấn phím enter…), người dùng cần đặc biệt quan tâm đến loại tệp tin, nếu phát hiện các tệp tin bất thường loại này (ví dụ như tệp tin ứng dụng thực thi nhưng lại có biểu tượng của Word, PDF…) thì nhanh chóng báo về cho các cơ quan chức năng để phối hợp xử lý.
ICTnews