Mới đây các nguồn thông tin báo chí nước ngoài có đưa tin về việc hãng bảo mật Symantec phát hiện ra virus tấn công vào chip vi xử lý của AMD. Tuy nhiên, sự thật lại khác xa thông tin đó.
Có lẽ trong trường hợp này, báo chí đã nhầm lẫn thông tin do hãng bảo mật Symantec cung cấp. Thông tin chính thức trên trang web của hãng bảo mật Symantec khẳng định hãng này "đã phát hiện ra một loại sâu (worm) mới tấn công vào các hệ thống Windows chạy chip AMD64” (new virus affects Windows (AMD64)) nhưng thông tin đưa trên các nguồn báo chí nước ngoài lại được giật lên "nóng hổi" thành “chip vi xử lý AMD bị virus tấn công” (AMD processors affected by new virus).
Các chuyên gia nghiên cứu khẳng định nếu thật sự có xuất hiện một con virus có khả năng tấn công chip vi xử lý AMD thì con virus đó cũng hoàn toàn có đầy đủ khả năng tấn công cả các dòng chip 64-bit Celeron D, Pentium D, Core 2 Duo của Intel.
Trên thực tế đây là con virus tấn công tấn công các tệp tin Windows thực thi (EXE) trên hệ điều hành Windows 64-bit x86 chạy trên cả hai nền tảng chip vi xử lý – AMD và Intel. Chứ không phải con virus này tấn công vào một lỗ hổng bảo mật trên chip AMD.
Chuyên gia nghiên cứu về virus Windows Harry Waldron đưa thông tin trên trang web Microsoft Most Valuable Professional có trích dẫn thông tin của Symantec và khẳng định: “W32.Bounds là một đoạn mã độc hại có thể biến đổi đa dạng lây nhiễm vào các tệp tin tự thực thi của Windows chạy trên nền tảng chip 64 bit. Tức là con virus này hoàn toàn có thể tự thay đổi mã lập trình sau mỗi lần lây nhiễm nhằm qua mặt các công cụ bảo mật.”
“Khi virus W32.Bounds được kích hoạt, nó sẽ thực hiện những tác vụ sau: Lây nhiễm lên mọi tệp tin tự thực thi trong thư mục chủ và các thư mục con bất kể tệp tin tự thực thi đó thuộc chuẩn định dạng nào. Con virus này cũng sử dụng một kỹ thuật Entry-Point Obscuring (EPO) mới bằng cách mốc nối vào một mục (entry) trên bảng Import Table – hay còn gọi là Bound Import Table”.
Waldron cho biết phiên bản 32-bit của con virus nói trên có khả năng tấn công mọi phiên bản hệ điều từ Windows 95, Windows 98, Windows Me, Windows NT cho đến Windows 2000, Windows XP và Windows Server 2003. Phiên bản 64-bit chỉ có thể tấn công các hệ điều hành 64-bit.
Hãng bảo SecurityForcus cho biết virus EPO là một loại virus rất đặc biệt vì nó yêu cầu cần phải có một cơ chế phát hiện và tiêu diệt khác với các loại virus khác. Nói một cách khác đây là loại virus rất khó phát hiện và khó diệt. Khi lây nhiễm thành công lên một tệp tin, virus EPO sẽ tìm cách đoạt quyền kiểm soát và tự thực thi bằng cách thay đổi Bound Import Table trên các tệp tin bị nhiễm để chỉ đường đến con virus. Như vậy mỗi khi tệp tin bị lây nhiễm được kích hoạt thì con virus sẽ được kích hoạt chứ không phải là tệp tin.
Symantec đã cho cập nhật định nghĩa dòng virus này vào danh sách các loại virus mà sản phẩm bảo mật của hãng này có thể phát hiện và tiêu diệt.
Trang Dung (Theo Theinquirer, Symantec)