Bí quyết tìm và diệt “siêu mã độc” Gauss trên hệ thống
07/10/2012 03:34 (GMT+7)


Chuyên gia bảo mật “bối rối” vì Gauss

Gauss là biến thể của “siêu malware” Flame đã được hãng bảo mật Kaspersky phát hiện ra hồi tháng 5 vừa qua. Cũng chính hãng bảo mật danh tiếng Kaspersky là nơi phát hiện ra Gauss đầu tiên.

Gauss sẽ hoạt động dưới dạng một phần mềm gián điệp, bí mật xâm nhập vào hệ thống của người dùng để đánh cắp các thông tin cá nhân như tài khoản ngân hàng, mật khẩu đăng nhập, các dịch vụ thanh toán trực tuyến…

Tuy nhiên, theo Kaspersky, Gauss được đánh giá còn có thể nguy hiểm hơn cả “siêu mã độc” Flame trước đây vì nó ẩn chứa bên trong một module, được biết đến với tên gọi Godel, được mã hóa một cách hoàn hảo mà các chuyên gia bảo mật chưa thể giải mã để khám phá tác dụng ẩn chứa bên trong.

“Vì vậy chúng tôi sẽ cung cấp đầy đủ những thông tin liên quan đến Gauss với hy vọng ai đó có thể tìm được một giải pháp để mở khóa những bí mật của nó”, Kaspersky cho biết. “Chúng tôi chào mừng những ai quan tâm và yêu thích đến mã hóa và toán học có thể tham gia với chúng tôi để giải quyết bí mật bên trong Gauss”.

Gauss sẽ bí mật theo dõi và đánh cắp các thông tin cá nhân quan trọng của người dùng

Đây được xem là một điều khá hy hữu trong lịch sử bảo mật khi các chuyên gia bảo mật hàng đầu lại bối rối trước một loại virus mới được phát hiện và kêu gọi sự giúp đỡ. Điều này đủ thấy được tầm nguy hiểm của Gauss.

Cũng giống như các biến thể trước đây là Stuxnet và Flame, Gauss có thể lây nhiễm và phát tán thông qua ổ USB. Kaspersky cho biết USB bị lây nhiễm Gauss sẽ chứa 2 file với nhiều thành phần được mã hóa.

“Những file này chứa trên USB lây nhiễm, sử dụng cách khai thác LNK nổi tiếng, vốn từng được sử dụng bởi mã độc Stuxnet trước đây”, Kaspersky cho biết thêm. “Mục tiêu chính của chúng là đánh cắp càng nhiều thông tin càng tốt trên hệ thống của nạn nhân và ghi lại trên ổ USB dưới 1 file có tên ‘.thumbs.db’”.

Kaspersky cho biết đã thử hàng triệu thuật toán để phá vỡ đoạn mã được mã hóa tuy nhiên không có tác dụng.

“Dĩ nhiên không hề đơn giản để phá vỡ các mã hóa với những thuật toán đơn thuần. Chúng tôi đang kêu gọi bất cứ ai quan tâm đến việc phá vỡ các mã hóa cùng tham gia”, Kaspersky cho biết.

Đáng chú ý, Gauss được xem là thông minh hơn so với “những người anh em đi trước” khi có thể nhận diện phần mềm bảo mật trên hệ thống để có thể tự ẩn mình.

Theo Mikko Hypponen, Giám đốc nghiên cứu của hãng bảo mật Phần Lan F-Secure thì “Gauss sẽ không tự khởi động khi phát hiện ra phần mềm bảo mật của Kaspersky, Gdata, F-Secure hay ZoneAlarm trên hệ thống. Dựa vào những đoạn mã trên mã nguồn của Gauss cho thấy Gauss có chức năng kiểm tra điều này”.

Nhiều chuyên gia bảo mật dự đoán rằng Gauss là một “vũ khí công nghệ”, thay vì chỉ là một loại mã độc đơn thuần.

“Với mức độ tinh vi của Gauss, có nhiều lý do để tin rằng đây không chỉ đơn thuần là một loại mã độc”,
Robert Graham, nhà sáng lập kiêm CEO của hãng bảo mật Errata Security tại Mỹ cho biết. “Tuy nhiên, rất khó để có thể nhận ra được ai là thủ phạm đứng đằng sau loại mã độc này”.

Theo Kaspersky, Gauss được xây dựng dựa trên mã nguồn của “siêu virus” Flame. Trước đó, Flame đã từng bị cáo buộc là “vũ khí công nghệ” do Mỹ và Israel phát triển để nhằm vào các đối thủ chống đối ở Trung Đông như Iran. Tuy nhiên cả Mỹ lẫn Israel đã phủ nhận điều này.

Một tin vui đối với những người dùng Mac và Linux, hiện tại Gauss chỉ đang lây nhiễm và có tác dụng với người dùng sử dụng Windows.

“Thuốc đặc trị” virus Gauss từ hãng bảo mật BitDefender

Gauss Removal Tool là công cụ chuyên dụng của hãng bảo mật danh tiếng BitDefender sử dụng để tìm và loại bỏ “siêu virus” Gauss trên hệ thống của người dùng.

Download phần mềm miễn phí tại đây (phiên bản dành cho Windows 32-bit) hoặc tại đây (phiên bản dành cho Windows 64-bit).

Sau khi download, bạn kích hoạt phần mềm để sử dụng ngay mà không cần cài đặt. Từ giao diện chính, nhấn nút “Start Scan” để bắt đầu quá trình quét toàn bộ hệ thống để tìm ra sự hiện diện của “siêu virus” Gauss.


Thời gian để thực hiện quá trình quét của phần mềm phụ thuộc vào số lượng file có trên ổ cứng.


Sau khi quá trình quét file kết thúc, kết quả cuối cùng sẽ được hiển thị. Nếu phần mềm không liệt kê bất kỳ kết quả nào bên dưới thì đây là tin vui cho bạn khi máy tính của bạn chưa hề bị dính “siêu virus” Gauss. Ngược lại, phần mềm sẽ tự động liệt kê các file có liên quan đến Gauss và tự động loại bỏ chúng để giúp hệ thống trở về trạng thái “sạch”.

Hệ thống chưa bị lây nhiễm “siêu virus” Gauss

Sau khi quá trình quét và loại bỏ Gauss hoàn tất (nếu phát hiện thấy), bạn nên khởi động lại hệ thống để hoàn toàn quá trình dọn dẹp.

Trên đây là những điều cần biết và cách thức để kiểm tra và loại bỏ “siêu virus” Gauss trên hệ thống của bạn, giúp bạn tránh khỏi sự xâm nhập và nguy cơ bị mất các thông tin quan trọng trên hệ thống.

Phạm Thế Quang Huy (dantri)

Các tin đã đăng: