Ông Luis Corrons, giám đốc PandaLabs, cho biết các biến thể sâu Bagle mới đang làm nóng lên một cuộc chiến trên mạng giữa những kẻ viết virus máy tính từ vài tháng trước. Lần này, đó là một đoạn mã phá hoại sử dụng cơ chế lây nhiễm mang tính chất xã hội và có thể lan rộng một cách cực kỳ nhanh chóng".
Các chuyên gia bảo mật đã lên tiếng cảnh báo về hai biến thể sâu máy tính Bagle mới, được đặt tên là Baglebb và Bagle.bd hay Bagle.az (hoặc .au), đã bắt đầu lây lan mạnh mẽ trên Internet từ cuối tuần trước. Hơn một triệu e-mail đã nhiễm sâu Bagle.bb chỉ trong vài giờ của buổi sáng thứ sáu tuần trước. Tốc độ lây nhiễm đạt mức đỉnh vào thời điểm 8-9g sáng, khi mọi người vào sở và kiểm tra thư điện tử, theo như thông báo của hãng bảo mật e-mail BlackSpider Technologies.
Biến thể Bagle mới nhất, một loại sâu gửi e-mail hàng loạt có chứa cơ chế gửi thư theo giao thức SMTP riêng, được gói cùng PeX với một file đính kèm tự chạy khi người dùng kích vào thư chứa nó.
Giả mạo tên người gửi
Bagle.bb thu thập địa chỉ e-mail từ sổ địa chỉ trên máy bị nhiễm và gửi các bản sao của nó đi với phần tên người gửi được giả mạo giống như các tên trong sổ địa chỉ. File đính kèm dưới dạng .exe sẽ kích hoạt sâu và mở cổng TCP 81 để cho phép truy cập từ xa vào máy tính nạn nhân.
Các chuyên gia khuyến nghị người dùng không nên mở chế độ preview trong các chương trình duyệt mail như Outlook, để đề phòng các file đính kèm .exe được kích hoạt ngay khi Outlook download thư về máy. (Chế độ preview tự động hiển thị để xem trước nội dung thư và file đính kèm.) Theo các chuyên gia bảo mật, người dùng nên xoá tất cả các thư, kể cả từ tên người gửi là người quen, nếu có các dấu hiệu như sau:
Mục From: [Tên giả mạo, có thể là của bạn bè, đồng nghiệp]
Mục Subject: Re: Re: Hello Re: Thank you! Re: Thanks :) Re: Hi
Phần Nội dung: :) :))
File đính kèm: Một file .exe với tên: Price Joke
Sau khi được kích hoạt, Bagle.bb tự sao chép nó và thư mục Windows System tại C:WINNTSYSTEM32WINGO.EXE. Khoá Registry sau sẽ được thêm vào để kích hoạt nó mỗi khi khởi động máy tính:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion Run "wingo" = C:WINNTSYSTEM32WINGO.EXE
Khoá Registry này cũng được thêm vào dữ liệu lưu trữ (bên trong một khoá 'TimeKey'):
HKEY_CURRENT_USERSoftwareParams
Tấn công vào ứng dụng P2P
McAfee đánh giá Bagle.bb và Bagle.bd ở mức độ nguy hiểm trung bình đối với doanh nghiệp và người dùng gia đình. |
Bagle.bb còn tự sao chép nó vào các thư mục có chứa từ "shar" trong tên, chẳng hạn như các thư mục được sử dụng bởi các chương trình trao đổi file qua mạng ngang hàng peer-to-peer phổ biến như Kazaa, Bearshare, Limewire... Khi người sử dụng các mạng ngang hàng này trao đổi file cho nhau và vô tình kích hoạt vào file .exe chứa các biến thể Bagle mới nhất, chúng sẽ nhảy từ máy tính người này sang máy tính người khác ngay lập tức, thông qua thư mục chia sẻ của mạng ngang hàng.
Ông Luis Corrons, giám đốc PandaLabs, cho biết virus này đang tiếp tục làm nóng lên một cuộc chiến qua mạng giữa các loại virus máy tính từ vài tháng nay. Các phiên bản trước của sâu Bagle cũng đã tấn công và vô hiệu khả năng phá hoại hay lây nhiễm của các virus khác, chẳng hạn như các biến thể của virus Mydoom.
Hiện tại, kể từ sau khi xuất hiện lần đầu tiên vào ngày 19/1/2004, virus Bagle đã có khoảng hơn 40 biến thể khác nhau, đều lây nhiễm qua e-mail. Hãng bảo mật McAfee đánh giá cả ba biến thể Bagle mới này có mức độ nguy hiểm trung bình, cả đối với người sử dụng gia đình và doanh nghiệp.
McAfee hiện cung cấp một công cụ diệt virus Bagle miễn phí, bạn đọc có thể truy cập vào địa chỉ http://vil.nai.com/vil/stinger/ để download ứng dụng Stinger.exe.
Chuyên gia Cluley của hãng bảo mật Sophos cho biết: Ngoài việc cập nhật phần mềm diệt virus, người sử dụng máy tính còn cần phải cập nhật kiến thức của họ trong việc vệ sinh e-mail đúng cách.
"Bạn có thể nâng cấp phần mềm diệt virus, nhưng bạn không thể sửa chữa bộ óc của người sử dụng. Họ cần phải hiểu rằng họ không nên kích đúp ngay lập tức vào một file đính kèm mà không hề cân nhắc, hoặc chẳng nghĩ ngợi gì khi chạy một file không rõ xuất xứ đột nhiên xuất hiện trên máy của mình".
-
Bình Minh (Tổng hợp PC World, TechNewsWorld)