Sự Thách Thức Trong Việc Phát Hiện Malware Hiện Đại

Thông thường, các chương trình diệt virus tỏ ra khó khăn trong việc theo kịp tốc độ phát triển của các mối đe dọa bảo mật. Do đó, không ít lần người dùng phát hiện máy tính của mình bị nhiễm phần mềm độc hại, trong khi phần mềm diệt virus đã cài đặt lại không có bất kỳ phản ứng nào.

Tình hình trở nên nghiêm trọng hơn khi các rootkit xuất hiện trên các máy chủ mạng, âm thầm tải xuống hàng gigabyte dữ liệu khiêu dâm thông qua việc thay đổi luồng dữ liệu (ADS). Mặc dù các phiên bản Norton đã được cài đặt trên những máy chủ này, chúng vẫn không thể phát hiện ra rootkit vì chúng khởi động ở mức độ ưu tiên cao trước khi các ứng dụng diệt virus được tải và thông báo cho hệ điều hành rằng mọi thứ đều ổn.

Các chương trình diệt virus không thể quan sát được ADS, do đó không thể phát hiện quá trình tải xuống trái phép này.

5 Đặc Điểm Nổi Bật Của Các Mối Đe Dọa Malware Hiện Nay

Malware đã trải qua một sự thay đổi đáng kể trong những năm gần đây, trở nên tinh vi và khó lường hơn. Các chuyên gia đã xác định được 5 đặc điểm quan trọng của các mối đe dọa hiện tại, giúp các chương trình antivirus/antispyware có thể bắt kịp:

1. Mục Tiêu Tấn Công Của Malware

Thời kỳ tấn công gây phiền toái đơn thuần đã qua. Ngày nay, malware thường nhắm mục tiêu vào những người dùng cụ thể với các thói quen và hành vi trực tuyến riêng biệt. Nó thường dựa vào những gì người dùng làm, các trang web họ truy cập, hoặc cách họ tải xuống tệp tin.

2. Khả Năng Thay Đổi Code Liên Tục

Malware liên tục thay đổi mã của chúng, thậm chí hàng ngày, khiến cho các chương trình diệt virus khó có thể theo kịp và nhận diện.

3. Động Cơ Kinh Tế

Hầu hết các malware hiện nay đều được tạo ra vì mục đích kinh tế, nhằm kiếm tiền hoặc gây tổn hại cho đối thủ cạnh tranh. Những kẻ đứng sau thường là những kỹ sư phần mềm có kiến thức chuyên môn, đôi khi thậm chí là những người làm việc trong các công ty bảo mật.

4. Antispyware Giả Mạo

Một số phần mềm antispyware thực chất lại là malware. Đây là một cạm bẫy nguy hiểm cho người dùng. Ví dụ, các trang web khiêu dâm có thể thỏa thuận với những kẻ cung cấp malware, tự động tải xuống một chương trình giả mạo chống virus cùng với nội dung khiêu dâm khi ai đó truy cập trang web.

Ban đầu, người dùng có thể nghĩ rằng đây là một "dịch vụ" hữu ích khi các pop-up quảng cáo xuất hiện. Sau đó, chương trình sẽ quét ổ cứng và "tìm thấy" một số virus. Để loại bỏ chúng, người dùng sẽ được yêu cầu mua chương trình với giá khoảng 10 đô la. Tuy nhiên, thực tế không có virus nào được phát hiện hoặc xóa bỏ, và người dùng chỉ đơn giản là trả tiền cho một lời hứa suông về việc máy tính của họ đã sạch.

Tệ hơn, sau khi thực hiện giao dịch này, người dùng có thể vô tình cài đặt một chương trình diệt virus "dởm" hoặc thậm chí là một phần mềm độc hại khác đang hoạt động ngầm trong hệ thống. Với hàng nghìn nạn nhân, những kẻ lừa đảo có thể kiếm được một khoản tiền đáng kể.

5. Hiệu Quả Hạn Chế Của Các Chương Trình Antivirus Chuẩn

Những kẻ thiết kế malware luôn kiểm tra sản phẩm của họ với các chương trình diệt virus phổ biến như Norton, McAfee và các hệ thống bảo mật khác để đảm bảo rằng chúng không bị phát hiện khi xâm nhập vào hệ thống. Sau một thời gian, các công ty diệt virus uy tín sẽ bắt kịp và vá các lỗ hổng, trong khi các công ty kém hiệu quả hơn sẽ phải thay đổi mã của họ để tránh lặp lại sai lầm.

Prevx: Một Phương Pháp Tiếp Cận Mới

Jason Bradley, người chịu trách nhiệm cho các giải pháp máy tính của CCE tại Oxford, sau một thời gian nghiên cứu đã phát triển phần mềm Prevx với một phương pháp tiếp cận hoàn toàn mới.

Prevx cài đặt một tác nhân trên máy tính của người dùng và tải xuống trước trong chu kỳ khởi động. Sau đó, nó kiểm tra các hoạt động của các đoạn mã đang chạy trên máy tính. Dữ liệu này được gửi đến máy chủ Prevx tại Anh, nơi nó được so sánh với dữ liệu từ tất cả những người dùng khác đang chạy phần mềm này.

Nếu phát hiện ra sự khác biệt, Prevx sẽ gửi một thông báo đến các máy tính của người dùng đang chờ đợi, cho phép họ quyết định có loại bỏ đoạn mã đáng ngờ hay không.