Malware đang được tăng cường ngày càng nhiều kiểu mã mới khó dò tìm và loại bỏ.
Các nhà nghiên cứu bảo mật tại Hội nghị thương mại của Học viện bảo mật máy tính ở Orlando vừa đưa ra cảnh báo nói rằng hacker có mục đích tội phạm đang tiếp tục đẩy mạnh tính tinh vi phức tạp trong phương thức và công cụ hoạt động. Dò tìm ra được dấu vết và ngăn chặn chúng sẽ trở nên khó khăn hơn.
Phương thức phổ biến nhất của các malware kiểu này là kỹ thuật hoán chuyển mã nguồn, được thiết kế để lẩn tránh sự dò tìm của các công cụ block malware dựa trên dấu vết; kỹ thuật phân mảnh mã nguồn khiến việc loại bỏ khó khăn hơn và kỹ thuật che dấu mã nguồn qua các rootkit.
Không giống như các sâu phát tán số lượng lớn e-mail như MS Blaster và SQL Slammer, chương trình malware ngày nay hầu hết được thiết kế gắn liền quanh các hệ thống xâm phạm.
Mục đích chính của việc phát triển các malware này không đơn thuần chỉ nhằm tấn công được càng nhiều hệ thống càng tốt mà rõ ràng nhắm vào việc ăn cắp thông tin, dữ liệu trên máy tính.
Cách thức sử dụng mã nguồn đa dạng liên tục biến đổi ngày càng phổ biến. Nhiều hacker mũ đen hiện nay cũng dùng kiểu “packer” (đóng gói) để mã hoá malware, né tránh sự dò tìm. Một số khác thì dùng các kiểu định hướng khác nhau cho việc giải mã mã nguồn để tạo ra số lượng biến đổi ảo không giới hạn.
Ví dụ điển hình là Swizzor, một Trojan download chương trình được phát hiện đầu năm nay. Nó tự gói mình lại theo chu kỳ một phút để ‘qua mặt’ các công cụ dò tìm dựa trên dấu vết vốn chỉ tiến hành loại bỏ cái gì chúng biết chính xác là độc hại. Swizzor cũng tự ‘biên tập lại’ mình sau một giờ. Biên tập lại mã nguồn là chiến thuật biến đổi tinh vi hacker dùng để qua mặt các hệ thống blocking.
Nhiều chương trình spyware được nâng cấp bộ mã hoá phổ biến hoặc các kỹ thuật đóng gói né tránh bị dò tìm. Nếu thuật toán mã hoá độc quyền đã được dùng thì thật sai lầm khi sử dụng thêm thuật toán phổ biến nói chung hoặc thuật toán nguồn mở – Gerhard Eschelbeck, giám đốc điều hành của công ty phần mềm Webroot Software ở Boulder, Colorado (Mỹ) nói.
Các chương trình spyware cũng dùng các ổ mức nhân và kỹ thuật block tiến trình để tích cực ngăn chặn hoạt động của phần mềm antispyware.
Theo Ralph Thomas, quản lý chương trình về các hoạt động mã độc hại ở iDefense, chi nhánh của VeriSign tại Reston (Mỹ) thì các chương trình malware hiện đại cũng đang được thiết kế theo hình thức tự phân tách vào một vài thành phần cùng lệ thuộc mỗi khi được cài đặt vào một hệ thống.
Mỗi phân mảnh hay thành phần đều có khả năng xác định thành phần khác. Khi xoá một thành phần, các thành phần còn lại sẽ tự sản sinh hoặc tự cài đặt lại ngay lập tức. Điều đó khiến việc loại bỏ chúng ra khỏi máy tính bị nhiễm độc là rất khó.
Một ví dụ cho kiểu malware này là WinTools, xuất hiện từ năm 2004. Nó được cài đặt trên toolbar cùng với ba thành phần phân tách trên hệ thống bị tấn công. Mọi sự cố gắng loại bỏ một trong các thành phần của malware này chỉ đơn giản khiến cho các thành phần khác thay đổi hoặc bắt đầu lại các file đã bị xoá.
Sự phân mảnh tự nhiên của mã nguồn kiểu này khiến các bản script viết ra để loại bỏ và xem liệu tất cả các malware đã thực sự bị loại bỏ hay chưa trở nên khó khăn hơn
Vấn đề ngày càng phức tạp hơn khi hacker dùng rootkit để che đậy mã độc hại. Rootkit có thể được cài đặt ở mức hệ điều hành hoặc trên modul mức nhân kernel để ẩn đi các mã và chương trình độc hại trước công cụ dò tìm malware.
Một chương trình độc hại có tên Haxdoor – biến thể của virus đã từng ăn trộm thông tin của 8.500 máy tính ở 60 nước trong tháng 10 là một ví dụ. Haxdoor từng ăn trộm mật khẩu, thông tin bàn phím và các điểm màn hình trên máy tính bị tấn công và gửi chúng cho dịch vụ ở xa.
Nó cũng được dùng để vô hiệu hoá các firewall hệ thống và tự che giấu mình trong một rootkit trên máy bị tấn công.