Mã độc được đặt tên Rombertik do đội phản ứng với nguy cơ bảo mật của Cisco (TALOS) phát hiện và công bố những chi tiết về hoạt động của loại mã độc này.
Sự tinh vi, “thông minh” và nguy hiểm đều có trong Rombertik. Nó không chỉ xáo trộn hoạt động của chính bản thân khi nó quét thấy có những dấu hiệu đang bị theo dõi mà nếu Rombertik nhận thấy đang hoạt động trong phạm vi một máy ảo (Virtual Machine), nó sẽ hủy hoại cả ổ cứng bằng cách ghi đè lên MBR (Master Boot Record) của ổ cứng.
Các chuyên gia cho hay, do được phát tán qua email "rác" và lừa đảo trực tuyến nên khi thâm nhập vào hệ thống, Rombertik thực hiện hành vi "nghe lén" qua khả năng bắt gói dữ liệu trao đổi ra vào của trình duyệt web trên máy tính bị lây nhiễm. Song song đó, một chức năng khác của Rombertik kiểm tra xem nó có đang vận hành trong "hộp cát" của máy tính ảo (VM) hay không.
Sự “thông minh” của Rombertik: "Hộp cát" (sandbox) trên máy ảo là một môi trường bảo mật, một vùng an toàn nơi mã độc dù có hoành hành cũng không hề hấn gì đến hệ thống. Khi nó không nằm trong môi trường bị hạn chế bởi "hộp cát" tạo ra, Rombertik bắt đầu bung các chức năng phá hoại.
Trường hợp Rombertik phát hiện mình bị "hộp cát" giới hạn các hành vi phá hoại, nó lập tức vô hiệu hóa ổ đĩa cứng vật lý (không phải ổ cứng ảo của máy ảo) bằng cách chép đè lên Master Boot Record của ổ đĩa cứng những byte dữ liệu rỗng khiến không thể phục hồi ổ cứng.
Các chuyên gia luôn khuyến cáo người dùng máy tính cẩn trọng khi sử dụng email, đặc biệt là những email gửi kèm các liên kết (link) trong nội dung hay tập tin đính kèm, ngay cả khi gửi từ địa chỉ quen thuộc. Và rất cần sử dụng các chương trình bảo vệ hệ thống bao gồm tường lửa như Kaspersky Internet Security, Trend Micro, Avast, Avira...
Kim Thanh
