Virus gửi lời thách thức tới các phần mềm an ninh

Phi Phong  | 12/08/2011 12:00 PM

Phải thừa nhận tác giả của virus này quả là người có đầu óc hài hước khi nghĩ ra việc để lại thông điệp "thách thức" các trình diệt virus.

Trên blog của mình, BKAV vừa cảnh báo về loại virus có cách hoạt động xưa này hiếm gặp. Loại virus được đặt tên W32.DownloadWinsLnr.Trojan khi lây nhiễm vào máy tính người dùng sẽ đưa ra thông điệp: “Máy tính của bạn đã bị phá hoại. Phần mềm diệt virus của bạn đâu rồi khi bạn cần dùng đến nó?….Hãy nhớ, bạn làm gì cũng vô ích thôi”. Cơ quan này cũng cho biết thêm, chủng virus mới được thu thập qua hệ thống giám sát virus HoneyPot.
 
Thông điệp của virus.
 
Một khi hệ thống đã bị nhiễm virus này, thư mục Windows sẽ bị khóa. Khi đó, người dùng sẽ không thể truy cập vào thư mục Windows. Thậm chí các chương trình diệt virus cũng không thể quét và phát hiện virus ẩn náu trong đó khi chạy ở mức User mode.
 
'
Thư mục Windows bị khóa.
 
Theo phân tích của BKAV thì kỹ thuật mà DownloadWinsLnr sử dụng rất đơn giản. Virus chỉ cần phân quyền cho thư mục Windows, cấm tất cả các quyền truy cập đối với thư mục này. Tất nhiên ổ đĩa hệ thống phải có định dạng NTFS. Tuy nhiên, điều mà tác giả của virus này đã không lường tới là: Kernel mode không bị chi phối bởi hành động phân quyền này, và hầu hết các chương trình diệt virus đều có module hoạt động ở mức Kernel.
 
Do đó, một khi mẫu virus đã được nhận diện, các phần mềm diệt virus sẽ dễ dàng gỡ bỏ nó ra khỏi hệ thống, mặc dù hậu quả để lại là thư mục Windows vẫn không thể truy cập được theo cách thông thường. Tuy vậy, vẫn phải thừa nhận tác giả của virus này quả là người có đầu óc hài hước khi nghĩ ra việc để lại thông điệp "thách thức" các trình diệt virus.
 
Tham khảo: Blog BKAV