221
2101
Virus - Hacker
virus-hacker
/cntt/virus-hacker/
500518
Mydoom.s phát tán sớm tại Việt Nam
1
Article
2081
CNTT - Viễn thông
cntt
/cntt/
Mydoom.s phát tán sớm tại Việt Nam
,

(VietNamNet) - McAfee, Inc.vừa lên tiếng cảnh báo về biến thể virus W32/Mydoom.s@MM, còn gọi là Mydoom.s đang phát tán mạnh qua e-mail. Tại Việt Nam, virus Mydoom.s đã xuất hiện và bắt đầu lây lan mạnh trong các mạng doanh nghiệp vào chiều nay (16/8).

Biến thể Mydoom mới này là một loại virus phát tán qua e-mail, được giấu trong một file đính kèm dạng .EXE có tên “photos_arc.exe”. Hiện tại, McAfee đã nhận được khoảng 100 thông báo khác nhau về virus này chỉ trong vòng 3 giờ kể từ lúc nó xuất hiện, với hầu hết các thông báo được gửi tới từ châu Âu và Nhật Bản.

Nguy cơ từ Mydoom.s

Mydoom.s có chứa cơ chế phát tán qua giao thức SMTP để thực hiện quá trình phát tán tới các địa chỉ khác. Tương tự như các biến thể khác, Mydoom.s cướp địa chỉ e-mail của máy tính nạn nhân, sau đó gặt hái các địa chỉ từ Address Book trên máy tính để tiếp tục "bắn phá" bằng các phiên bản sao y của nó. Mydoom.s tạo ra một email với địa chỉ người gửi giả mạo từ account có trên máy tính đã bị nhiễm, nên những người nhận được email kế tiếp rất dễ lầm tưởng là thư của người quen và mở ra.

File đính kèm là một file .EXE có tên photos_arc.exe, khá khác biệt với các phiên bản Mydoom khác vì thông thường chúng dùng rất nhiều đuôi file khác nhau. Người dùng nên cẩn trọng trước mọi email có tiêu đề photos và xoá ngay khi thấy xuất hiện.

Một số nhận dạng ban đầu của Mydoom.s:

- Địa chỉ người gửi From: (giả mạo địa chỉ e-mail của người quen, có thể là cùng trong công ty).

- Tiêu đề: photos

- Nội dung: LOL!;))))

Phân tích cơ chế phá hoại

Sau khi người dùng bị lừa và mở file đính kèm photos_arc.exe, Mydoom.s sẽ tự sao chép nó vào thư mục WINDOWS (%WinDir%) dưới dạng file  rasor38a.dll và vào thư mục SYSTEM (%SysDir%) dưới tên winpsd.exe, để thực hiện hoạt động lây nhiễm kế tiếp. Các khoá Registry sau đã được Mydoom.s thêm vào để hệ thống kích hoạt nó mỗi khi khởi động: 

• KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "winpsd" = C:\WINDOWS\System32\winpsd.exe

Virus này sau đó thực hiện thành phần truy cập từ xa trong nó, với nhiệm vụ lắng nghe các kết nối từ xa. Ngoài ra, nó còn download một Trojan backdoor vào máy của nạn nhân để hỗ trợ các hoạt động xâm nhập khác sau đó.

Khắc phục và bảo vệ hệ thống

Các thông tin chi tiết hơn về Mydoom.s có thể tìm thấy tại McAfee AVERT tại địa chỉ http://vil.nai.com/vil/content/v_127616.htm. McAfee AVERT đang khuyến nghị khách hàng để nâng cấp các file diệt virus 4386 DAT để ngăn chặn Mydoom.s.

Hiện tại, McAfee chỉ đánh giá mức độ nguy hiểm của Mydoom.s ở mức độ trung bình, (Medium). Tuy nhiên, phần mềm Norton AntiVirus nổi tiếng chưa phát hiện được Mydoom.s vào thời điểm virus này phát tán.

Theo tìm hiểu sơ bộ của VietNamNet, virus Mydoom.s có thể lây nhiễm ngay khi email chứa nó được hiển thị trong ô Preview Pane của Outlook Express, hoặc Microsoft Outlook.

Do đó, người dùng nên tắt ô hiển thị xem trước Preview Pane bằng cách vào View/Layout trong Outlook, sau đó bỏ tuỳ chọn Show Preview Pane đi để ngăn chặn Mydoom.s kích hoạt. Khi thấy trong Inbox, có các thư có tiêu đề photos cần xoá ngay, và liên tục cập nhật các phiên bản chương trình diệt virus mới.

Bình Minh (Theo ComputerWorld)

,
Ý kiến của bạn
Ý kiến bạn đọc
,
,
,
,