Từ hai năm trước đây, các chuyên gia bảo mật đã từng lên tiếng cảnh báo rằng một Trojan horse có khả năng qua mặt tường lửa chắc chắn sẽ là bước tiếp theo của kỹ thuật tấn công máy tính. Tại hội thảo Defcon lần này, điều tiên đoán đó đã trở thành hiện thực. Ba nhà nghiên cứu Temmingh, Meer và Charl van der Walt đã trình diễn Setiri - một mẫu Trojan horse hoạt động ngấm ngầm mà người sử dụng và tường lửa không hề hay biết. Ba người này nói rằng họ sẽ không tung Setiri vào mạng mà kêu gọi Microsoft nhanh chóng vá các lỗ hổng đã tạo điều kiện cho Trojan hoạt động.
Nguyên tắc hoạt động của Trojan Setiri
Trojan Setiri được phát tán đến máy tính của người sử dụng theo những phương thức cổ điển: hoặc núp trong một file đính kèm e-mail, hoặc giả dạng một tiện ích cho người sử dụng tải xuống, hoặc lây lan qua đĩa mềm.
Nhưng Setiri có một điểm khác biệt so với các Trojan horse khác là nó không chứa các lệnh thực thi - chính vì vậy các tường lửa không thể phát hiện ra sự tồn tại của chương trình nguy hại này. Thay vào đó, Setiri sẽ mở một cửa sổ vô hình trong Internet Explorer để âm thầm kết nối với một Web server thông qua site ẩn danh Anonymizer.com (site ẩn danh là một site cho phép dấu địa chỉ IP của máy tính). Setiri sử dụng site này để thực thi các lệnh trong máy tính của người sử dụng mà họ không hề hay biết. Những lệnh này có thể là: tải xuống một chương trình ghi lại các thao tác trên bàn phím (keystroke-logging program), hoặc gửi mật khẩu và các file về máy tính của hacker. Bởi vì dữ liệu đánh cắp được chuyển qua site ẩn danh, nên bạn không thể biết được địa chỉ chính xác máy tính của hacker.
Trojan Setiri lợi dụng một chức năng cơ bản trong Internet Explorer cho phép mở các cửa sổ vô hình và kết nối Internet. Các cửa sổ duyệt Web mở mà không hiển thị trên màn hình, vì vậy người sử dụng sẽ không biết chúng đang làm gì. Nếu bạn muốn tìm bằng chứng về sự hiện diện của cửa sổ vô hình trong Windows Task Manager, nó sẽ được liệt kê với cái tên IEXPLORER.EXE, cũng giống như là các cửa sổ Internet Explorer thông thường khác.
Internet Explorer sử dụng cửa sổ vô hình cho nhiều mục đích khác nhau, chẳng hạn như gửi các thông tin đăng ký (registration info) qua mạng. Chương trình thư điện tử Eudora thì sử dụng cửa sổ vô hình để tải các bức ảnh trong e-mail.
Cách thức ngăn ngừa
Có một cách ngăn ngừa là Microsoft phải tắt chức năng cửa sổ vô hình. Nhưng nếu làm như vậy thì một số chức năng khác của Internet Explorer sẽ bị trục trặc. Hoặc có thể thiết lập tường lửa để ngăn chặn tất cả các chương trình truy cập tới site ẩn danh Anonymizer. Tuy nhiên, điều này cũng không thể loại bỏ tận gốc mối nguy hại, bởi vì các Trojan sẽ tìm đến các site ẩn danh khác, thậm chí là các site hợp pháp - nơi mà hacker nhúng các đoạn mã nguy hại.
Đại diện của Microsoft tham dự hội thảo DefCon nói rằng hãng này sẽ xem xét cách thức hạn chế cửa sổ vô hình thực hiện những công việc như trên.
Người sử dụng cũng có thể tự bảo vệ mình bằng cách không mở các file đính kèm e-mail không rõ xuất xứ, cũng như không tải xuống các file từ những site không đáng tin cậy.
Đăng Khoa - Theo PCWorld.com
