 |
Các chuyên gia bảo mật máy tính đang lên tiếng cảnh báo người sử dụng Internet về một loại virus mới có tên là LoveGate.C. Xuất hiện từ hôm 24/2, loại virus này đã tấn công vào một số máy tính trên thế giới, cài đặt chương trình ''cửa sau'' (Trojan horse) cho phép hacker từ xa có thể dễ dàng truy cập vào máy tính nạn nhân.
Virus LoveGate.C là biến thể của loại virus LoveGate.A xuất hiện hồi tuần trước. LoveGate.C có một cơ chế lây nhiễm qua e-mail riêng, không cần đến những chương trình e-mail client như Outlook Express để phát tán. Virus này cũng sử dụng 16 mật khẩu đơn giản để bẻ khóa và xâm nhập vào các máy tính cùng mạng với máy tính bị nhiễm virus.
LoveGate.C núp trong một file đính kèm e-mail. Nó sử dụng những mánh khóe lừa đảo rất thông dụng như: đưa ra một tiêu đề thư hấp dẫn hứa hẹn cung cấp cho người sử dụng một phần mềm miễn phí, hay một bức ảnh khiêu dâm, để người sử dụng tò mò mở file đính kèm làm cho virus được kích hoạt.
Khi được kích hoạt, LoveGate.C sẽ chui vào thư mục Windows/System dưới dạng các file có tên là ''syshelp.exe'', ''winrpc.exe'', ''WinGate.exe'', ''WinRpcsrv.exe'' và ''rpcsrv.exe''.
Virus này cũng sẽ thêm các dòng lệnh sau vào file C:\Windows\win.ini để mỗi khi người sử dụng khởi động lại máy tính, virus sẽ được kích hoạt
Run=
Run=rpcsrv.exe
Virus sẽ tạo thêm các khóa sau trong Windows Registry:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
syshelp = C:\windows\%system%\syshelp.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinGate initialize = C:\windows\%system%\WinGate.exe -remoteshell
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Module Call initialize = RUNDLL32.EXE reg.dll ondll_reg
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default) = winrpc.exe %1
Ngoài ra, LoveGate.C sẽ thả một chương trình ''cửa sau'' vào máy tính. Chương trình này có 4 file ''ily.dll'', ''task.dll'', ''reg.dll'' và ''1.dll''. Khi chạy, chương trình cửa sau sẽ tự động gửi một e-mail chứa địa chỉ Internet của máy tính nạn nhân về cho tác giả virus, đồng thời mở cổng 10168 để tạo điều kiện cho hacker xâm nhập.
Khi đã biết được địa chỉ Internet của máy tính nạn nhân, tên cổng và mật khẩu, hacker có thể nắm quyền kiểm soát máy tính.
Trong vòng 12 giờ đầu tiên sau khi LoveGate.C xuất hiện, hãng dịch vụ bảo mật thư điện tử MessageLabs đã chặn được gần 4.000 e-mail chứa loại virus này. Các e-mail có xuất xứ từ Nam Phi, Anh, Italia, Đức, Bỉ, Trung Quốc và Mỹ.
Steve Trilling, Giám đốc nghiên cứu công ty giải pháp chống virus Symantec, cho biết, cơ chế lây nhiễm của LoveGate.C không mới. Symantec đã xếp hạng LoveGate.C ở mức 3/5 - mức độ nguy hiểm trung bình. Hãng bảo mật mạng Network Associates cũng xếp LoveGate.C có mức độ de dọa trung bình. Cả Symantec và Network Associates đều đã cập nhật nhận dạng LoveGate.C để phần mềm của mình có thể tiêu diệt được loại virus này.
Đăng Khoa - Tổng hợp từ Central Command và Symantec
