Xuất hiện virus khai thác số tài khoản ngân hàng Được biết tới như một "rootkit" trên những trang web tạo ra cho mục đích lợi dụng lỗ hổng trong trình duyệt Internet Explorer để cài đặt mã tấn công. Các chuyên gia bảo mật cảnh báo Mebroot là loại virus nguy hiểm và rất khó phát hiện bởi nó ẩn sâu trong hệ điều hành. Chương trình tìm cách ghi đè lên một phần của vùng khởi động chính (Master Boot Record - MBR). Đây là vùng ổ cứng mà máy tính đọc trước tiên khi được bật điện nguồn, nhằm tìm các thông số của hệ điều hành. Qua trang blog của hãng bảo mật Symatec, ông Elia Florio chỉ ra rằng nhiều chương trình virus độc chiếm trước khi Windows sử dùng MBR, như vậy kiểm soát được hệ điều hành. Một khi đã cài đặt được, Mebroot mở đường cho các chương trình gây hại khác tải xuống, ví dụ như phần mềm đánh cắp nội dung các phím gõ, để qua đó đánh cắp các thông tin bí mật. Hầu hết các chương trình này đều không hoạt động cho tới khi chủ máy tính truy cập các hệ thống ngân hàng trực tuyến. Hãng bảo mật iDefense xác nhận đã phát hiện được Mebroot từ tháng 12-2007, nhưng biến thể virus bắt đầu hoạt động trong một loạt các vụ tấn công xảy ra hồi cuối năm. Chỉ tính từ 12/12/2007 tới 07/01/2008, đã ghi nhận hơn 5.000 máy tính bị nhiễm virus này. Các phân tích về Mebroot cho thấy nhờ cơ chế dùng MBR làm nơi trú ẩn, nên có thể tái cài đặt các chương trình đi kèm khi chúng bị phát hiện và gỡ bỏ bởi các phần mềm diệt virus. Nhưng chỉ có một số ít chương trình chống virus có khả năng tìm ra, và Mebroot cũng không thể gỡ bỏ trong lúc máy tính đang hoạt động. Các máy tính chạy Windows XP, Windows Vista, Windows Server 2003 và Windows 2000 chưa được vá lỗi đầy đủ là các mục tiêu dễ bị loại virus này khống chế. Công cụ của hãng bảo mật độc lập GMER vừa tung ra được coi là phát huy tốt chức năng dò tìm và gỡ bỏ chương trình đánh cắp thông tin do Mebroot đưa vào. Trojan đã tải một tệp tin cấu hình chứa tên miền của hơn 400 ngân hàng khác nhau. Trong số này có nhiều ngân hàng lớn của Mỹ, Pháp, Tây Ban Nha, Ireland, Anh, Thổ Nhĩ Kỳ Theo Symantec, khi chui vào được máy tính của nạn nhân, Silentbanker ghi lại quá trình gõ bàn phím hoặc chụp ảnh màn hình để gửi đến địa chỉ của kẻ chủ mưu. Nó có thể thay đổi chi tiết tài khoản trong dữ liệu của ngân hàng, thay đổi thông tin giao dịch và chuyển tiền đến tài khoản của kẻ tấn công. Symantec cho biết những hệ thống bị ảnh hưởng gồm Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. Khi bị nhiễm trojan này, Symantec khuyến cáo người dùng: - Tắt chức năng khôi phục hệ thống của (Windows Me/XP) - Cập nhật chương trình diệt Virus mới nhất - Chạy quét toàn bộ hệ thống - Xoá các giá trị được ghi vào registry Nếu bạn không thể remove trojan ở chế độ Windows bình thường bạn có thể chạy Windows ở chế độ Safemode để diệt. . khi chúng bị phát hiện và gỡ bỏ bởi các phần mềm diệt virus. Nhưng chỉ có một số ít chương trình chống virus có khả năng tìm ra, và Mebroot cũng không. tung ra được coi là phát huy tốt chức năng dò tìm và gỡ bỏ chương trình đánh cắp thông tin do Mebroot đưa vào. Trojan đã tải một tệp tin cấu hình chứa