Microsoft cảnh báo mã độc Dexphot đã lây nhiễm gần 80.000 máy tính

Microsoft cho biết mã độc Dexphot là một phần mềm độc hại phức tạp, đây là là công cụ để tin tặc khai thác tiền điện tử và tạo doanh thu cho những kẻ tấn công. Về cơ bản, mã độc Dexphot không đánh cắp dữ liệu từ người dùng.

Cũng theo nhóm chuyên gia bảo mật tại Microsoft chia sẻ về phương thức tấn công Dexphot, bắt đầu từ việc làm tổn hại nội dung của hai quy trình hợp pháp của Windows - svchost.exe và nslookup.exe. Sau đó, mã độc Dexphot sẽ sử dụng các nhiệm vụ để khiến hệ thống của nạn nhân bị nhiễm bệnh cứ sau 90 phút. Hơn nữa, Dexphot còn sử dụng hiệu quả tính đa hình (Polymorphism), điều này làm cho tất cả các hệ thống rất phức tạp.

Trong số tất cả các nhiệm vụ, Dexphot nổi bật với tính ngụy trang đa hình hóa, có khả năng thay đổi dấu chân (footprint) và tên tệp trên máy tính cứ sau 20-30 phút. Do đó, mã độc Dexphot làm cho máy tính Windows dễ bị tổn thương hơn về các khía cạnh không gian mạng.

Microsoft cho biết, Dexphot được trang bị 5 tập tin: 2 trình cài đặt URL và 3 tập tin được mã hóa. Vì tất cả các quy trình đều hợp pháp, ngoại trừ quá trình cài đặt, nên việc khôi phục rất khó khăn. Hơn nữa, Dexphot được sử dụng để đối phó với các máy tính đã bị nhiễm phần mềm độc hại khác trước đó - làm vấn đề trở nên phức tạp hơn.

Theo dự đoán, Dexphot sẽ có thể gây hại cho một số quy trình quan trọng khác như svchost.exe, tracert.exe và setup.exe. Hơn nữa, mã độc Dexphot cũng sẽ sử dụng kỹ thuật  “living off the land” (lược dịch: sống ngoài vùng đất)  để lạm dụng các quy trình hợp pháp của Windows và thực thi mã độc, thay vì chạy các quy trình của chính nó. Theo Microsoft, Dexphot có thể sử dụng unzip.exe, powersrc.exe, v.v. cho mục đích của nó.

Mặc dù Dexphot có các cơ chế hoạt động bền bỉ mạnh mẽ nhưng nhờ vào những nỗ lực và chính sách liên quan của Microsoft, số vụ tấn công bởi phần mềm độc hại này đã liên tục giảm kể từ khi đạt đỉnh vào tháng 6.

Nguồn: Gizchina