Các hãng phần mềm chống virus đang lên tiếng cảnh báo khách hàng về sự xuất hiện một biến thể mới của sâu Bagle. Với tên gọi Bagle.BB, biến thể này không chú trọng vào mục đích lây lan giữa các máy tính, mà có mục tiêu là cài đặt một phần mềm gián điệp theo dõi từ xa lên các hệ thống mà chúng nhiễm vào.
Theo nhận định ban đầu, chương trình Trojan này chủ yếu nhắm đến các máy tính chạy hệ điều hành Windows của Microsoft và "mai phục" bên trong một file của danh mục file Zip đính kèm. Đây là một tệp tin thi hành sử dụng những cái tên nghe có vẻ "vô tội" như "doc-01.exe" hoặc "prs_03.exe". Những email này thường có tiêu đề (subject) "trong sáng" kiểu như "Bảng giá mới".
Thay vì lây lan hàng loạt qua mail như các biến thể trước, Bagle.BB, hay BagleDl-L, theo cách gọi của hãng bảo mật Sophos, là một chương trình Trojan ngấm ngầm phá hoại các ứng dụng bảo mật và tìm cách kết nối với các website "đen". Cùng lúc đó, nguy hiểm hơn, chúng còn chỉnh sửa các file cấu hình của Windows để chặn đường truy cập vào những website của các công ty chống virus và bảo mật.
Bagle.BB xuất hiện vào đầu ngày 1/3, trong một chiến dịch phát tán email thư rác rầm rộ trên quy mô cực lớn. Chúng đã đổ bộ vào hòm thư email của người dùng trên toàn thế giới, Andrew Lee, giám đốc công nghệ của Eset cho biết. Có những thời điểm mà Eset nhận tới... 3500 email có chứa Trojan Bagle.BB trong một giờ. Những email thư rác này được gửi đi từ cả một mạng lưới khổng lồ các máy tính "zombie" (máy tính đã bị virus kiểm soát và làm cho "thân tàn ma dại") và có số lượng tăng giảm liên tục trong ngày theo nhịp điệu bắt đầu - kết thúc của từng chiến dịch dội bom thư rác khác nhau. Với sự góp mặt của biến thể mới, tổng lưu lượng sâu Bagle lưu thông trên mạng trong 24 giờ qua đã tăng gấp 5 lần. Theo đánh giá của hãng bảo mật McAfee, biến thể mới có mức độ nguy hiểm ở tầm "trung bình".
"Mở khoá" bảo mật
Việc ngấm ngầm vô hiệu hoá các hệ thống bảo vệ bảo mật có thể đặt máy tính và mạng nội bộ trước vô số nguy cơ bảo mật. "Bất cứ chương trình Trojan nào được lập trình để tắt các tính năng chống virus hoặc tường lửa của bạn đều chở theo nguy cơ về những vụ tấn công tiếp theo. Bạn vẫn có thể "chết" bởi cả những con virus xưa như trái đất", Graham Cluley, chuyên gia tư vấn công nghệ cao cấp của Sophos cho biết.
Khác với sâu tấn công mail hàng loạt, Trojan này không có khả năng tự nhân bản. Tuy nhiên tất cả các công ty bảo mật đều nhấn mạnh mức nguy hiểm của BagleDl-L do số lượng rất lớn email chứa chúng mà họ đã phát hiện được.
Theo F-Secure và Sophos, những website mà biến thể Bagle mới kết nối tới hiện vẫn chưa chứa đựng các đoạn mã nguy hiểm. Tuy nhiên, trong lịch sử, người ta đã biết khá nhiều trường hợp tác giả sâu và Trojan bắt tay với nhau để bổ sung thêm "mã đen" vào website sau khi cuộc tấn công ban đầu tạm lắng xuống.
Để Trojan kích hoạt được cần khá nhiều điều kiện. Trước tiên, chúng thường ẩn nấp bên trong các file ZIP đính kèm theo email. Chỉ khi nào bạn mở chúng ra, chạy các chương trình "doc-01.exe" hoặc "prs-03.exe" thì máy tính mới bị lây nhiễm. "BagleDl-D lợi dụng phản ứng có tính chất phản xạ của người dùng máy tính khi họ nhận được các file ZIP có vẻ vô hại qua đường email. Nếu bạn muốn cài đặt phần mềm trên máy tính của mình, bạn nên lấy nó từ bộ phận IT trong công ty của mình chứ không nên từ bạn bè đang làm việc tại các công ty khác, càng không nên lấy từ nguồn... thư rác.
Mới chỉ là bắt đầu
Sau hơn một năm xuất hiện, các biến thể của Bagle vẫn tiếp tục sinh sôi nảy nở và tung hoành. BagleDl-L được phát hiện chỉ vài ngày sau khi Send-Safe.com, trang web chuyên cung cấp các công cụ spam, bị nhà cung cấp dịch vụ Internet MCI "đá" khỏi mạng. Theo MCI cáo buộc, Send-Safe đã sử dụng máy tính bị lây nhiễm Trojan để sản sinh và phát tán thư rác.
Eset đã tìm thấy 15 chương trình Trojan khác nhau được đi kèm với phiên bản Bagle mới. Trong khi đó, F-Secure của Hà Lan phát hiện được bốn Trojan mới và hai biến thể khác nhau của Bagle.
Việc chuyển đổi từ các con virus tự sinh sang chiến dịch phát tán thư rác "thả bom" Trojan có thể là một dấu hiện cho thấy các nhóm tội phạm mạng đang thay đổi chiến thuật tấn công để tránh bị các phần mềm và công nghệ bảo mật phát hiện. "Tôi sẽ không ngạc nhiên nếu chúng ta tiếp tục phát hiện các vụ tấn công tương tự tiếp theo", Lee của Eset cho biết.
Cầm Thi (Tổng hợp)