[size=2]Microsoft vừa phát hiện các máy tính mới bán tại Trung Quốc đã cài sẵn mã độc ẩn mình chờ lệnh xâm nhập máy tính người dùng, đánh cắp tài khoản ngân hàng và dữ liệu nhạy cảm, điều khiển máy tính tấn công web từ xa.[/size]
[size=2]Sự kiện này đã được tiết lộ trong các tài liệu tòa án niêm phong ngày 13-9 tại một tòa án liên bang ở Virginia (Hoa Kỳ). Các thông tin trong tài liệu mô tả về một chiến dịch của Microsoft chống lại tội phạm mạng đang nhắm vào hệ điều hành Windows - mục tiêu tấn công lớn nhất của các loại virút. Trong đó, Microsoft đã phát hiện một loại mã cực độc mang tên Nitol.[/size]
[size=3]“Cửa hậu” Trung Quốc[/size]
[size=2]Các nhân viên trong nhóm điều tra của Microsoft tại Trung Quốc đã mua 20 máy tính mới từ các nhà bán lẻ và cho chúng kết nối Internet. Windows bản lậu được cài sẵn trên tất cả máy tính được mua và bốn trong số đó được “tặng thêm” mã độc cài sẵn. Một máy tính có Nitol được chú ý nhất vì mã độc này ngay lập tức thức giấc và hoạt động khi điều tra viên mở máy lần đầu tiên mà không cần bất cứ thao tác nào từ phía người dùng. Nitol có chức năng cài đặt các backdoor (“cửa hậu”) để tội phạm mạng có thể điều khiển máy tính từ xa thực hiện gửi thư rác, theo dõi người dùng máy tính, đánh cắp dữ liệu cá nhân hoặc tấn công các trang web trên mạng… Laptop chứa Nitol được sản xuất tại Công ty máy tính Hedy ở Quảng Châu, Trung Quốc.[/size]
[size=2]Tài liệu của Microsoft đã mô tả khả năng hoạt động của mã độc Nitol: “Ngay khi chúng tôi mở máy, nó bắt đầu dò tìm khắp Internet nhằm liên lạc với một máy tính khác”. Mức độ lây nhiễm đáng kinh ngạc, chỉ cần cắm ổ USB chứa Nitol vào máy lây nhiễm, nó sẽ tự nhân bản sang đó. Kế đến, ổ USB cắm vào bất kỳ máy tính nào khác, Nitol tiếp tục lây nhiễm nhanh chóng vào mục tiêu mới. Trong hồ sơ trình tòa án, Microsoft đã cung cấp vài ngàn mẫu mã độc Nitol gồm nhiều biến thể khác nhau.[/size]
[size=2]Theo Microsoft, bất chấp khoảng cách địa lý, Nitol đã lây lan nhanh chóng trên nhiều máy tính tại Trung Quốc, Hoa Kỳ, Nga, Úc và Đức. Theo số lượng tăng dần, các máy tính lây nhiễm góp phần tạo ra mạng botnet Nitol (mạng máy tính “ma” chịu sự điều khiển từ xa của chủ nhân) - một công cụ hái ra tiền cho tội phạm mạng - có thể đe dọa bất cứ hệ thống máy tính nào trên thế giới khi chúng đạt đến số lượng vài trăm ngàn, vài triệu hoặc hơn các “máy tính ma” (máy tính bị lây nhiễm).[/size]
[size=2]Trong quá trình điều tra, Microsoft còn phát hiện tất cả biến thể của Nitol trên các máy tính bị lây nhiễm đều luôn kết nối đến các máy chủ C&C (ra lệnh và điều khiển) liên quan đến tên miền 3322.org của một công ty Trung Quốc. Microsoft cáo buộc website này là trung tâm chính cho những hoạt động bất hợp pháp. Tên miền này là “ngôi nhà lớn” cho hoạt động của mã độc Nitol và hơn 560 loại mã độc khác, tạo thành kho lưu trữ các phần mềm “nhiễm mã độc” lớn nhất mà Microsoft chưa bao giờ gặp phải. Trước đó, các hãng bảo mật của Mỹ từng cảnh báo về việc tên miền 3322.org chiếm hơn 17% các giao dịch web độc hại của thế giới trong năm 2009. Năm 2008, Hãng bảo mật Kaspersky Lab (Nga) cũng đã công bố bản báo cáo bảo mật chỉ ra rằng 40% các chương trình phần mềm độc hại tại một thời điểm có kết nối đến 3322.org.[/size]
3curse3