Nemesis là mã độc phức tạp vì nó thực hiện tiêm mã độc trước khi khởi động hệ điều hành, làm cho các phần mềm độc hại rất khó bị phát hiện và loại bỏ. Bộ phần mềm độc hại Nemesis đã từng xuất hiện trong quá khứ, tấn công vào các ngân hàng, máy ATM, xử lý giao dịch tài chính, quỹ tín dụng, và các công ty kinh doanh dịch vụ tài chính.
Nemesis bootkit - Xuất hiện trở lại ngay cả sau khi cài đặt lại hệ điều hành
Các phần mềm độc hại với chức năng bootkit đã hoạt động kể từ đầu năm nay và có khả năng sửa đổi VBR hợp pháp (Volume Boot Record) làm cho các phần mềm độc hại có thể nạp trước khi Windows khởi động. Điều này làm cho các mối đe dọa nguy hiểm khó để phát hiện và loại bỏ bằng cách sử dụng các phương pháp bảo mật truyền thống.
Hơn nữa, các phần mềm độc hại này nằm trong một phần cấp thấp của ổ đĩa cứng và vẫn có thể lây nhiễm trở lại kể cả sau khi cài lại hệ điều hành Windows.
Nemesis hoạt động như thế nào?
Đầu năm nay, tội phạm mạng đã điều chỉnh Nemesis thêm một tiện ích gọi là BOOTRASH có khả năng thay đổi quá trình khởi động của máy tính bị nhiễm mã độc. Trong một khởi động bình thường, bất kỳ máy tính Windows đọc dữ liệu từ MBR (Master Boot Record) của ổ cứng đó tải các VBR - một đoạn mã cụ thể cho một hệ điều hành có hướng dẫn cho các hệ điều hành để bắt đầu quá trình khởi động.
Quá trình này thường theo các bước dưới đây
Các VBR sau đó nạp mã hệ điều hành bình thường, BOOTRASH tải:
• Đầu tiên, mã độc Nemesis được lưu trữ trong hệ thống tập tin ảo xâm nhập vào Windows kernel
• Sau đó đến các mã hệ điều hành
BOOTRASH được nạp bên ngoài hệ điều hành của máy, vì vậy nó không bị quét bởi chương trình Anti-Virus của hệ thống, giúp các phần mềm độc hại tránh bị phát hiện.
Cách bảo vệ hệ thống của bạn khỏi Nemesis bootkit
Giải pháp chống lại mối đe dọa này là sử dụng các công cụ phần mềm có thể truy cập và quét raw disk có thể chứa bootkits, hoặc xóa sạch ổ đĩa trước khi cài lại hệ điều hành. Nemesis là bộ phần mềm độc hại tàng hình đầu tiên chiếm quyền điều khiển quá trình khởi động bình thường của một máy tính, nhưng nó không phải là mã độc đầu tiên có chức năng bootkit.
Trong quá khứ, các nhà nghiên cứu đã từng phát hiện các mối đe dọa nguy hiểm như TDL4 (Olmarik), Rovnix, Necurs và Carberp. Trong số này, trojan Carberp cũng nhằm vào ngân hàng và các tổ chức tài chính.
