Các nhà cung cấp khác đang theo dõi phần mềm độc hại này, bao gồm McAfee, Symantec, và Sophos. Trong khi hầu hết cho rằng mã độc khai thác thông qua lỗi AutoRun truyền thống thì Sophos lại cho biết hầu hết các máy tính cá nhân của các công ty đang nhiễm bệnh thông qua mạng chia sẻ.
Chester Wisniewski, một cố vấn an ninh cao cấp của Sophos, tập trung cho rằng khi người dùng nhấn vào liên kết chia sẻ trong Facebook có thể sẽ mở ra một đường dẫn nhanh đến thư mục chứa mạng chia sẻ của công ty. Chính vì vậy ông tin rằng AutoRun không phải là nguồn gốc quan trọng nhất trong các hoạt động tấn công. Theo Wisniewski thì AutoRun có thể là một giải pháp thú vị mà bọn tội phạm vẫn còn sử dụng để lây lan các tập tin mã độc bởi lẽ các vec-tơ điều khiển đang bị Microsoft quản lý chặt chẽ hơn.
Trước đó, bản vá lỗi AutoRun đã được Microsoft tung ra trong năm 2009, 1 tháng sau khi Trung tâm Phản ứng khẩn cấp Mỹ, US-CERT, ban hành một cảnh báo lỗi trong Windows 2000/XP/Server 2003. Sau đó 1 năm công ty tiếp tục tung ra bản vá lỗi cho Windows Vista và Windows Server 2008.
Các phần mềm độc hại mới nhất có khả năng cải trang bản thân như là các tập tin và thư mục trong mạng chia sẻ để lưu trữ trên các thiết bị di động. Chúng cũng sẽ tạo ra các file exe với tên liên quan đến các hoạt động khiêu dâm hoặc một thư mục có tên gọi là password để lôi kéo người dùng bấm vào chúng, theo Sophos.
Phần mềm độc hại sẽ thêm một khóa registry, do đó nó có thể chạy ngay khi máy tính được khởi động. Các biến thể của ứng dụng sẽ vô hiệu hóa tính năng Windows Update để ngăn chặn nạn nhân tải về các bản vá lỗi để vô hiệu hóa các phần mềm độc hại.
Khi một máy tính bị nhiễm độc, ứng dụng sẽ thực hiện theo một quy trình do phần mềm độc hại đặt ra. Nó có khả năng liên lạc với một máy chủ lệnh và kiểm soát các chỉ dẫn. Sophos cảnh báo, chúng cũng có thể tải về các trojan trong gia đình sâu Zeus/Zbot, đánh cắp thông tin ngân hàng trực tuyến,...
Để chống lại các phần mềm độc hại, các chuyên gia bảo mật khuyên người dùng nên vô hiệu hóa tính năng AutoRun trên tất cả các hệ điều hành Windows và hạn chế quyền ghi chèn các tập tin. Tùy thuộc vào nhà cung cấp AV, phần mềm độc hại mới có nhiều tên khác, bao gồm cả W32/VBNA-X, W32/Autorun.worm.aaeb, W32.ChangeUp và WORM_VOBFUS.
Ổ dịch mới nhất được phát hiện chỉ 1,5 năm sau khi Microsoft báo cáo sự sụt giảm lớn trong tỷ lệ lây nhiễm mã độc AutoRun. Cũng theo Microsoft, so với năm 2010 thì trong 5 tháng đầu năm 2011, số lượng phần mềm độc hại liên quan đến AutoRun được phát hiện bởi Microsoft đã giảm 59% trên máy tính Windows XP và 74% trên máy tính Vista.
Bình luận (0)