22/06/2006 19:09 GMT+7

Các virus nguy hiểm mang thông tin World Cup

THANH TRỰC

TTO - Không khí World Cup đang “nóng” dần lên theo từng trận banh hay thì số lượng virus mới, nguy hiểm cũng tăng lên mà người dùng Internet phải hết sức cẩn thận, theo như lời cảnh báo từ Sophos.

W32/Sixem-A, tên của loại phần mềm độc hại được khám phá vào thứ hai 19-6 vừa qua bởi công ty bảo mật Sophos. Loại phần mềm độc hại này hướng đến các fan hâm mộ của môn thể thao vua, đặc biệt là sự kiện World Cup đang diễn ra.

Sâu W32/Sixem-A có thể làm nguy hại đến cả hệ thống nếu người dùng tải về tập tin bị nhiễm hay mở email có đính kèm phần mềm độc hại. Khi đã thâm nhập vào được hệ thống của người dùng, W32/Sixem-A sẽ làm giảm độ bảo mật của hệ thống xuống tối đa để tải về “mảnh” phần mềm độc hại bổ sung còn lại và sẽ dùng công cụ email có sẵn của mình để tự phát tán đến danh sách địa chỉ email liên hệ của người dùng.

Khi gởi các email độc hại, chúng sẽ tự động thay đổi các địa chỉ email nguồn như: otnews@cnn.com, kellyjast@hotmail.com, lindasal@gmail.com, mr.robs@yahoo.com, newsreader@hotmail.com, todaynews@cnn.com.

Tiêu đề của các email này cũng sẽ được thay đổi tự động như: “Soccer fans killed five teens”, “Crazy soccer fans”, “Please reply me Tomas”, “My tricks for you”, “Naked World Cup game set”, “My sister whores, shit I don't know” cùng với phần tin nhắn đến người đọc rằng các hooligan tại World Cup đã giết 5 thanh niên hay những người khoả thân đã chuẩn bị trình diễn cho World Cup.

Người dùng lưu ý không được mở các email có đính kèm các tập tin như: name.jpg.exe, name.gif.exe hay name.bmp.exe.

W32.Worm.Zade.A

Loại sâu này cũng vừa được phát hiện và đang hoành hành phát tán qua email dựa trên thông tin về World Cup. Chúng sẽ tự tải về và vận hành một tập tin từ máy chủ từ xa, nguy hiểm hơn nữa là chúng có khả năng khoá các chương trình chống virus cũng như các tiện ích hệ thống đang hoạt động.

Tên đầy đủ của loại virus này là W32.Worm.Zade.A nhưng chúng có mối liên hệ với Win32.HLLM.Soccer hay “Dr Web”. Chúng có thể khéo léo khoá các chương trình chống virus và tường lửa trên hệ thống. Loại sâu này chỉ làm ảnh hưởng đến người dùng đang sử dụng hệ điều hành Windows 98/ME/2000/XP và cả Windows Server 2003.

Dựa trên sự vận hành của sâu, chúng sẽ tự sao chép mình thành: %System%\msctools.exe (%System% sẽ là thư mục hệ thống Windows. Đối với Windows XP và 2003 thì thư mục hệ thống của Windows thường là C:\Windows\System32, trên Windows 2000 là C:\WINNT\System32 và Windows 95/98 hay ME là C:\Windows\System).

Sau đó, sâu sẽ thêm vào các giá trị trong “trái tim” của hệ thống, đó là registry, để chúng có thể tự động vận hành ngay khi máy tính được mở lên.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

nsdevice = "%System%\msctools.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

nsdevice = "%System%\msctools.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

nsdevice = "%System%\msctools.exe"

Sâu sẽ tạo một giá trị registry để lưu trữ dữ liệu của chúng tại:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL

mls = %value%

Cũng giống như sâu W32/Sixem-A ở trên, W32.Worm.Zade.A sẽ thu thập tất cả những địa chỉ email mà chúng có thể khai thác từ các tập tin có định dạng: wab, adb, msg, dbx, mbx, mdx, eml, nch, txt, tbb, tbi, htm, xml, doc, rtf, msg, xls, sht, oft trên hệ thống của người dùng bị lây nhiễm. Sau đó, chúng sẽ tự nhân bản và gởi đi đến các email trong danh sách liên hệ của người dùng, kèm theo tập tin đính kèm với định dạng ban đầu là hình ảnh và đuôi là .EXE.

Sâu cũng tự động tải về máy tập tin từ địa chỉ: hxxp://couplesexxx.com/tumbs/dianaimg.exe, sao lưu chúng lại trong thư mục tạm của Windows và vận hành nó.

Sau đây là danh sách các chương trình mà sâu sẽ tự động khoá khi chúng xâm nhập vào hệ thống. Những chương trình này đa phần là các chương trình anti-virus.

_AVP32.EXE

_AVPCC.EXE

_AVPM.EXE

AVP32.EXE

AVPCC.EXE

AVPM.EXE

AVP.EXE

iamapp.exe

iamserv.exe

FRW.EXE

blackice.exe

blackd.exe

zonealarm.exe

vsmon.exe

VSHWIN32.EXE

VSECOMR.EXE

WEBSCANX.EXE

AVCONSOL.EXE

VSSTAT.EXE

OUTPOST.EXE

REGEDIT.EXE

NETSTAT.EXE

TASKMGR.EXE

MSCONFIG.EXE

NAVAPW32.EXE

NAVW32.EXE

UPDATE.EXE

…

Người dùng có thể kiểm tra những địa chỉ email mà sâu tự thu thập được trên máy đã bị lây nhiễm tại tập tin: %System%\cats.jpg. Nó sẽ đưa địa chỉ email mà nó thu thập được lên 1 máy chủ từ xa thông qua một đoạn mã PHP: extraf.com/ms/count.php.

Chỉ cần một chút cảnh giác khi sử dụng email là bạn đã có thể bảo vệ chính mình khỏi những virus luôn rình rập. Đừng bao giờ mở mail lạ, mail có đính kèm các tập tin chưa xác định hay .exe, .src phía sau phần mở rộng.