Sáng 15/11/2005, hệ thống giám sát email ra vào Trung tâm An ninh mạng BKIS, Đại học Bách Khoa Hà Nội phát hiện được một số email mạo danh Bkav để phát tán một loại virus mới.
Ngay lập tức BKIS tiến hành thu thập các mẫu virus và phân tích. Những phân tích ban đầu cho thấy ngoài việc mạo danh Bkav, virus này cũng mạo danh cả VietNamNet, VnExpress, Microsoft....để đánh lừa người sử dụng. Sau 2 giờ 15 phút, công việc phân tích virus hoàn thành và phương án xử lý đã được BKIS cập nhật vào phiên bản Bkav795.
Nếu bạn nhận được email gửi từ (From) một trong những địa chỉ sau:
-
Thongbao@bkav.com.vn
-
TinNhanh@vnexpess.net
-
HoiThoai@vnn.vn
-
SecurityUpdate@microsoft.com
-
Laode@gmail.com
-
TinhYeu@nhacso.net
-
LamQuen@tinhyeu.com
với tiêu đề (Subject) tương ứng là:
-
Thong bao ve virus moi - BKAV update
-
Chuong trinh xem tin nhanh qua bao dien tu - vnexpress.net
-
Chuong trinh hoi thoai truc tuyen qua web - vnn.vn
-
Windows Update Patch
-
File receive from LaoDe
-
Giai dieu tinh yeu ngot ngao!
-
Hay noi loi yeu thuong! - Tinhyeu.com
và yêu cầu bạn thực thi file đính kèm có tên là file.zip, Bạn nên xoá ngay email này, vì file đính kèm chính là virus W32.Noob.Worm. Nếu bạn đã lỡ tay thực thi file này từ trước, bạn hãy tải Bkav phiên bản Bkav795 để diệt virus này.
Bạn cần lưu ý: Vì lý do an toàn cho khách hàng của mình, Trung tâm An ninh mạng Bkis, Đại học Bách Khoa Hà Nội không bao giờ gửi file đính kèm trong email tới khách hàng. Chúng tôi cũng khuyên các bạn phải thực sự cẩn thận, không chạy trực tiếp những file gửi kèm trong bất cứ email nào. Thậm chí email đó có vẻ là được gửi từ một người thân của bạn hay một tổ chức có uy tín nào đó.
Chi tiết những email mạo danh phát tán virus như sau:
1. Mạo danh Bkav:
Tiêu đề (Subject): Thong bao ve virus moi - BKAV update
Gửi từ (From): thongbao@bkav.com.vn
File đính kèm (Attachment): File.zip
Nội dung (Body):
Chao cac ban
He thong quet virus qua mang cua chung toi - BKAV NET phat hien may cua ban da bi nhiem virus worm32.netcodo.
Virus nay hoat dong nhu mot chuong trinh keylogger, danh cap toan bo thong tin ca nhan trong may cua ban va gui ra ngoai mang.
File dinh kem duoi dang zip la file dung de diet nhanh virus
nay, ban hay giai nen va quet qua mot lan, chuong trinh se
thong bao cho ban neu thuc su co virus worm32.netcodo trong
may.De biet them thong tin chi tiet ve virus nay, ban co the ghe
tham: http://www.bkav.com.vn/frmView.aspx?Noidung=netcodob.htmTrung tam An ninh mang - Dai hoc Bach khoa Ha Noi
Dia chi: Tang 5 - Nha Hitech - 1A Dai Co Viet - Ha Noi
Dien thoai: 04-8683853 Email: bkav@bkav.com.vn
2. Mạo danh VnExpress:
Tiêu đề (Subject): Chuong trinh xem tin nhanh qua bao dien tu - vnexpress.net
Gửi từ (From): tinnhanh@vnexpess.net
File đính kèm (Attachment): File.zip
Nội dung (Body):File dinh kem trong thu duoi dang nen zip la chuong trinh cho phep cac ban doc tin nhanh tren bao dien tu VNExpress.
De su dung duoc chuong trinh, cac ban hay giai nen va cap nhan nhung thong tin moi nhat.
Xin chan thanh cam on va chuc cac ban thanh cong
Toa soan VNExpress - Co quan chu quan: Bo Khoa hoc Cong nghe
Giay phep: So 511/GP - BVHTT ngay 25/11/2002
Tong bien tap: Thang Duc Thang
Toa soan: 2B - Khu Ngoai giao doan - Van Phuc - Ba Dinh, Hanoi
3. Mạo danh VietNam Net:
Tiêu đề (Subject): Chuong trinh hoi thoai truc tuyen qua web - vnn.vn
Gửi từ (From): hoithoai@vnn.vn
File đính kèm (Attachment): File.zip
Nội dung (Body):
Kinh chao
File dinh kem trong thu duoi dang nen zip la chuong trinh cho phep cac ban hoi thoai truc tuyen qua bao dien tu VietNamNet.
De su dung duoc chuong trinh, cac ban hay giai nen va tham gia vao muc hoi thoai truc tuyen cung voi nhung nguoi noi tieng.Xin chan thanh cam on va chuc cac ban thanh cong.
Bao dien tu VietNamNet - Cong ty Phan mem va Truyen thong VASC. Lien lac voi Toa son
Co quan chu quan: Tong cong ty Buu Chinh Vien Thong Viet Nam- Bo Buu chinh Vien thong
So giay phep: 27/GP-BVHTT, cap ngay: 23/01/2003
Tong bien tap: Nguyen Anh Tuan - Toa soan: So 4 Lang Ha, Ha Noi
4. Mạo danh Microsoft:
Tiêu đề (Subject): Windows Update Patch
Gửi từ (From): securityupdate@microsoft.com
File đính kèm (Attachment): File.zip
Nội dung (Body):Dear Sir/Madam
The attach file is security update for your windows system.
This update to quickly check for and remove Mydoom.A, MydoomB,
or Doomjuice (A or B) from your PC. To help avoid infection.Microsoft Security Team
http://update.microsoft.com/windowsupdate
5. Mạo danh NhacSo.net:
Tiêu đề (Subject): Giai dieu tinh yeu ngot ngao!
Gửi từ (From): tinhyeu@nhacso.net
File đính kèm (Attachment): File.zip
Nội dung (Body):Chao cac ban,
Chuong trinh trong file dinh kem giup cac ban cap nhan nhung ban tin moi, cac tac pham, ca khuc moi tu web site http://nhacso.net
Chuc cac ban co duoc nhung cam xuc tuyet voi.
Xin kinh chao
6. Mạo danh Tinhyeu.com:
Tiêu đề (Subject):Hay noi loi yeu thuong! - Tinhyeu.com
Gửi từ (From):lamquen@tinhyeu.com
File đính kèm (Attachment): File.zip
Nội dung (Body):Chao cac anh, cac chi
File dinh kem trong thu la cong cu cho phep nhan tin truc tu yen den nguoi ban yeu thuong. Ban hay mo file nen va chay de
biet them thong tin chi tiet.http://www.tinhyeu.com
Chuc cac ban luon co nhung cam xuc dep de.
7. Gửi từ địa chỉ Laode@gmail.com:
Tiêu đề (Subject): File receive from LaoDe
Gửi từ (From): Laode@gmail.com
File đính kèm (Attachment): File.zip
Nội dung (Body):
Chao DaiCa,
File em gui dinh kem trong mail, anh mo ra xem nhe,
Em, LaoDe.
Một số đặc điểm chính của virus W32.Noob.Worm:
1. Nếu là lần đầu nó sẽ copy chính nó vào file %System%\reader_sl.exe, chạy file này và kết thúc.
2. Tạo ra key: “Adobe Reader Speed Launch” với nội dung là “reader_sl.exe” trong
HKLM\ Software\Microsoft\Windows\CurrentVersion\Run
và
HKLM\ Software\Microsoft\Windows\CurrentVersion\RunServices
để virus được kích hoạt mỗi lần máy tính khởi động.
3. Kiểm tra nếu máy tính có thể kết nối tới Internet thì kết nối tới irc server (cổng 80) phoenixclan.hmspirit.info. Khi kết nối thành công đến các irc server này worm sẽ gửi thông tin về máy bị nhiễm và nhận lệnh điều khiển từ xa. Khi nhận được lệnh thích hợp nó sẽ mở ra một cổng hậu cho phép hacker điều khiển máy bị nhiễm từ xa.
4. Tìm địa chỉ email trong file có tên trong key HKCU\Software\Microsoft\WAB\WAB4\Wab File Name và các file có đuôi là *.xls, *.mdb, *.doc, *.txt, *.log trong tất cả các ổ đĩa. Các địa chỉ email tìm được được lưu trong file email.log.
Chuyên viên phân tích: Vũ Ngọc Sơn, Đào Văn Huy, Lê Minh Hưng.
(Trung tâm An ninh mạng BKIS)