08:56 17/09/2012

Máy tính xuất xứ Trung Quốc “đính kèm” mã độc

Phúc Minh

Nhiều máy tính mới được bán ở Trung Quốc đã bị cài sẵn mã độc để xâm nhập máy tính người dùng và kết nối tấn công DDoS

Những mã độc này được nhúng vào trong các phiên bản lậu của hệ điều hành Windows XP và Windows 7.
Những mã độc này được nhúng vào trong các phiên bản lậu của hệ điều hành Windows XP và Windows 7.
Tờ International Business Times dẫn kết quả điều tra của Microsoft cho biết, nhiều máy tính mới được bán ở Trung Quốc đã bị cài sẵn mã độc (malware) được dùng để xâm nhập máy tính người dùng và kết nối với các máy tính khác để tấn công những trang web mục tiêu.

Phần mềm độc hại vốn dĩ không phải là chuyện mới, nhưng thường chúng chỉ xâm nhập vào hệ thống máy tính khi người dùng truy cập vào những trang web có mã độc. Còn theo cuộc điều tra của Microsoft, phần mềm độc hại đã được cài sẵn vào những mẫu máy tính mới ở Trung Quốc trước khi chúng được bán cho người dùng.

Chiến dịch điều tra của Microsoft có tên là MARS, được bắt đầu thực hiện từ tháng 8 năm ngoái. Các thành viên thuộc tổ điều tra của Microsoft tại Trung Quốc đã mua 20 máy tính mới (bao gồm cả máy tính xách tay và máy tính để bàn) từ các đại lý bán lẻ ở nhiều thành phố khác nhau của Trung Quốc, kết nối chúng với Internet.

Các chuyên gia phân tích của Microsoft đã nhanh chóng phát hiện cả 20 chiếc máy tính họ mua được từ các đại lý bán lẻ đều được cài đặt phiên bản Windows không có bản quyền, đặc biệt 4 trên tổng số 20 máy tính được cài đặt kèm theo phần mềm độc hại, trong đó có một số phần mềm có khả năng lây lan thông qua ổ đĩa USB.

Những mã độc này được nhúng vào trong các phiên bản lậu của hệ điều hành Windows XP và Windows 7. Chúng có nhiệm vụ giám sát hoạt động người dùng, như việc bấm bàn phím hay lịch sử truy cập, đồng thời kết nối các hệ thống máy tính khác để tổ chức các đợt tấn công từ chối dịch vụ - DDoS vào các trang web nạn nhân.

Một trong số những mã độc nguy hiểm nhất mà Microsoft phát hiện được trong số máy tính trên, có tên là Nitol. Đây là mã độc có thể lây lan rất nhanh qua ổ USB. Nitol có chức năng cài đặt “cửa hậu” để tội phạm mạng điều khiển máy tính từ xa, gửi thư rác, theo dõi người dùng máy tính, tổ chức tấn công những trang web...

Điều đáng ngại nhất ở biến thể Nitol này là khả năng ngay lập tức kích hoạt khi điều tra viên mở máy lần đầu mà không cần bất cứ thao tác nào từ phía người dùng. “Ngay khi chúng tôi mở máy, nó bắt đầu dò tìm khắp Internet nhằm liên lạc với máy tính khác”, tài liệu của Microsoft mô tả khả năng hoạt động của mã độc Nitol.

Cuộc điều tra của Microsoft đối với Nitol đã phát hiện được tất cả biến thể của mã độc này trên các máy tính bị lây nhiễm đều luôn kết nối đến các máy chủ ra lệnh, điều khiển liên quan đến tên miền 3322.org của một công ty Trung Quốc. Ngoài mã Nitol, 3322.org còn chứa hơn 500 loại mã độc khác trên hơn 70.000 tên miền phụ.

Đáng chú ý, đây không phải là lần đầu 3322.org bị các chuyên gia bảo mật nhắc đến. Năm 2009, hãng bảo mật Zscaler cho biết, 3322.org chiếm đến 17% lưu lượng các trang web mã độc trên toàn cầu. Trước đó, vào năm 2008, hãng bảo mật Kaspersky cũng tố cáo 40% phần mềm độc hại trên toàn thế giới có kết nối đến 3322.org.