Thời gian gần đây, thế giới xôn xao về chủng virus Corona mới gây bệnh viêm phổi (nCoV - 2019) khởi phát ban đầu từ thành phố Vũ Hán, Trung Quốc, và vẫn đang có diễn biến vô cùng phức tạp ở nhiều quốc gia và vùng lãnh thổ khác nhau. Trùng hợp thay, lĩnh vực an ninh mang cũng vừa ghi nhận sự xuất hiện của một loại virus máy tính mới vô cùng nguy hiểm. Nếu như bệnh nhân nhiễm nCoV vẫn có cơ hội chữa khỏi cao, thì hệ thống máy tính bị nhiễm loại virus mới này gần như không thể khôi phục lại dữ liệu.
Virus máy tính và sâu độc hại (worm) từng là những tác nhân độc hại phổ biến một thời, nhưng giờ đã nhường chỗ cho các mối đe dọa tinh vi và đa dạng hơn, bao gồm các công cụ khai thác tiền điện tử bất hợp pháp, Trojans, ransomware và phần mềm giám sát phức tạp được thiết kế để xâm nhập vào các thiết bị di động.
Tuy nhiên khi virus tái xuất, nó sẽ cực kỳ đáng sợ. Trường hợp này đúng với KBOT, một loại virus mới được phát hiện bởi các nhà nghiên cứu đến từ đội ngũ Kaspersky.
KBOT có thể lây lan qua các hệ thống truy cập Internet, mạng cục bộ và ổ cứng di động. Khi một hệ thống bị lây nhiễm, virus sẽ tự ghi nó vào Startup và Task Scheduler, lây lan đến tất cả các tệp .exe trên hệ thống và các thư mục mạng được chia sẻ trong đường dẫn của nó.
Trong quá trình quét các ổ đĩa trên hệ thống, virus sẽ đính kèm mã đa hình vào các tệp .exe và chức năng ghi đè của giao diện IWbemObjectSink, một tính năng cơ bản của ứng dụng Win32. Ngoài ra KBOT cũng có thể nhận diện mọi kết nối giữa các ổ đĩa và sử dụng các hàm API NetServerEnum và NetShareEnum nhằm truy xuất những đường dẫn đến các tài nguyên mạng khác để lây lan mã độc.
Nguy hiểm hơn, KBOT sử dụng một loạt các công cụ và kỹ thuật phức tạp để che giấu hoạt động của nó, bao gồm mã hóa chuỗi RC4, quét các DLL liên quan đến phần mềm chống virus để vô hiệu hóa chúng và tiêm mã vào các quy trình đang chạy hợp lệ.
Không chỉ can thiệp vào các tệp .exe, phần mềm độc hại sẽ cố gắng đánh cắp dữ liệu cá nhân của nạn nhân, có thể bao gồm thông tin đăng nhập được sử dụng để truy cập các dịch vụ tài chính và ngân hàng trực tuyến. Sử dụng các trang web giả mạo là phương pháp ưa thích của KBOT và để làm như vậy, virus sẽ can thiệp vào mã của trình duyệt, cũng như mã của các chức năng hệ thống có nhiệm vụ xử lý lưu lượng.
Tất nhiên trước khi đánh cắp dữ liệu của nạn nhân, virus sẽ phải thiết lập một liên kết đến máy chủ chỉ huy và kiểm soát (C2) của nó, trong đó các tên miền liên quan được lưu trữ trong tệp hosts.ini. Cấu hình và tham số kết nối C2 được mã hóa và sẽ gửi ID bot, tên máy tính, hệ điều hành và danh sách dữ liệu người dùng cục bộ cũng như phần mềm bảo mật mà họ đã cài đặt trên hệ thống.
Các lệnh C2 bao gồm xóa và cập nhật tệp, hướng dẫn cập nhật các mô-đun bot hoặc thực hiện tự hủy. Ngoài ra KBOT cũng có thể tải xuống các mô-đun phần mềm độc hại bổ sung thu thập dữ liệu người dùng bao gồm thông tin đăng nhập, tệp, thông tin hệ thống và dữ liệu liên quan đến ví tiền điện tử.
Với toàn bộ đặc điểm trên, KBOT được đánh giá là một chủng virus máy tính mới vô cùng nguy hiểm. Các chuyên gia an ninh mạng toàn cầu đang theo dõi sát sao mã độc và phương án ứng phó sẽ sớm được đưa ra trong thời gian tới.
