TTO - Không khí World Cup đang “nóng” dần lên theo
từng trận banh hay thì số lượng virus mới, nguy hiểm cũng tăng lên mà
người dùng Internet phải hết sức cẩn thận, theo như lời cảnh báo từ
Sophos.
W32/Sixem-A, tên của loại phần mềm độc hại được khám
phá vào thứ hai 19-6 vừa qua bởi công ty bảo mật Sophos. Loại phần mềm
độc hại này hướng đến các fan hâm mộ của môn thể thao vua, đặc biệt là
sự kiện World Cup đang diễn ra.
Sâu W32/Sixem-A có thể làm nguy hại đến cả hệ thống
nếu người dùng tải về tập tin bị nhiễm hay mở email có đính kèm phần
mềm độc hại. Khi đã thâm nhập vào được hệ thống của người dùng,
W32/Sixem-A sẽ làm giảm độ bảo mật của hệ thống xuống tối đa để tải về
“mảnh” phần mềm độc hại bổ sung còn lại và sẽ dùng công cụ email có sẵn
của mình để tự phát tán đến danh sách địa chỉ email liên hệ của người
dùng.
Khi gởi các email độc hại, chúng sẽ tự động thay đổi các địa chỉ email nguồn như: otnews@cnn.com, kellyjast@hotmail.com, lindasal@gmail.com, mr.robs@yahoo.com, newsreader@hotmail.com, todaynews@cnn.com.
Tiêu đề của các email này cũng sẽ được thay đổi tự
động như: “Soccer fans killed five teens”, “Crazy soccer fans”, “Please
reply me Tomas”, “My tricks for you”, “Naked World Cup game set”, “My
sister whores, shit I don't know” cùng với phần tin nhắn đến người đọc
rằng các hooligan tại World Cup đã giết 5 thanh niên hay những người
khoả thân đã chuẩn bị trình diễn cho World Cup.
Người dùng lưu ý không được mở các email có đính kèm các tập tin như: name.jpg.exe, name.gif.exe hay name.bmp.exe.
W32.Worm.Zade.A
Loại sâu này cũng vừa được phát hiện và đang hoành
hành phát tán qua email dựa trên thông tin về World Cup. Chúng sẽ tự
tải về và vận hành một tập tin từ máy chủ từ xa, nguy hiểm hơn nữa là
chúng có khả năng khoá các chương trình chống virus cũng như các tiện
ích hệ thống đang hoạt động.
Tên đầy đủ của loại virus này là W32.Worm.Zade.A nhưng
chúng có mối liên hệ với Win32.HLLM.Soccer hay “Dr Web”. Chúng có thể
khéo léo khoá các chương trình chống virus và tường lửa trên hệ thống.
Loại sâu này chỉ làm ảnh hưởng đến người dùng đang sử dụng hệ điều hành
Windows 98/ME/2000/XP và cả Windows Server 2003.
Dựa trên sự vận hành của sâu, chúng sẽ tự sao chép
mình thành: %System%\msctools.exe (%System% sẽ là thư mục hệ thống
Windows. Đối với Windows XP và 2003 thì thư mục hệ thống của Windows
thường là C:\Windows\System32, trên Windows 2000 là C:\WINNT\System32
và Windows 95/98 hay ME là C:\Windows\System).
Sau đó, sâu sẽ thêm vào các giá trị trong “trái tim”
của hệ thống, đó là registry, để chúng có thể tự động vận hành ngay khi
máy tính được mở lên.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
nsdevice = "%System%\msctools.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
nsdevice = "%System%\msctools.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
nsdevice = "%System%\msctools.exe"
Sâu sẽ tạo một giá trị registry để lưu trữ dữ liệu của chúng tại:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL
mls = %value%
Cũng giống như sâu W32/Sixem-A ở trên, W32.Worm.Zade.A
sẽ thu thập tất cả những địa chỉ email mà chúng có thể khai thác từ các
tập tin có định dạng: wab, adb, msg, dbx, mbx, mdx, eml, nch, txt, tbb,
tbi, htm, xml, doc, rtf, msg, xls, sht, oft trên hệ thống của người
dùng bị lây nhiễm. Sau đó, chúng sẽ tự nhân bản và gởi đi đến các email
trong danh sách liên hệ của người dùng, kèm theo tập tin đính kèm với
định dạng ban đầu là hình ảnh và đuôi là .EXE.
Sâu cũng tự động tải về máy tập tin từ địa chỉ:
hxxp://couplesexxx.com/tumbs/dianaimg.exe, sao lưu chúng lại trong thư
mục tạm của Windows và vận hành nó.
Sau đây là danh sách các chương trình mà sâu sẽ tự
động khoá khi chúng xâm nhập vào hệ thống. Những chương trình này đa
phần là các chương trình anti-virus.
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
iamapp.exe
iamserv.exe
FRW.EXE
blackice.exe
blackd.exe
zonealarm.exe
vsmon.exe
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
OUTPOST.EXE
REGEDIT.EXE
NETSTAT.EXE
TASKMGR.EXE
MSCONFIG.EXE
NAVAPW32.EXE
NAVW32.EXE
UPDATE.EXE
…
Người dùng có thể kiểm tra những địa chỉ email mà sâu
tự thu thập được trên máy đã bị lây nhiễm tại tập tin:
%System%\cats.jpg. Nó sẽ đưa địa chỉ email mà nó thu thập được lên 1
máy chủ từ xa thông qua một đoạn mã PHP: extraf.com/ms/count.php.
Chỉ cần một chút cảnh giác khi sử dụng email là bạn đã
có thể bảo vệ chính mình khỏi những virus luôn rình rập. Đừng bao giờ
mở mail lạ, mail có đính kèm các tập tin chưa xác định hay .exe, .src
phía sau phần mở rộng.
THANH TRỰC
(Theo TTO)