Hiện nay, Trung tâm Thông tin An ninh mạng F-Secure đã nâng mức báo động về con virus có tên Blaster lên cấp 1 do khả năng phát tán quá nhanh của nó. Đây là loại virus có tốc độ lây lan nhanh nhất trên thế giới. Khi hoạt động, con virus tạo ra mục nhập đăng ký tự chạy sau đây:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update
Khi đấy, nó sẽ tạo thành một file có tên msblast.exe và bắt đầu hoạt động mỗi khi khởi động Windows. Virus Blast sẽ tạo nên một mutex (viết tắt của mutual exclusion object—đối tượng ngăn chặn tương quan) có tên là "Billy" dùng để dò tìm xem có bản sao nào đang chạy không. Nếu có, nó chỉ việc ngắt không cho chạy nữa. Nếu không có, nó lại tiếp tục chu kỳ hoạt động của nó. Hết chu kỳ, nó ngủ 20 giây rồi thức dậy và tiếp tục dò tìm kết nối Internet cho đến khi kết nối được mới thôi. Ngoài ra, con virus này còn kiểm tra số phiên bản Winsock của máy bị nhiễm. Virus Blast chạy trên các phiên bản Winsock 1.0, 1.01 và 2.02.
Tấn công từ chối dịch vụ phân tán
Khi đã kết nối được Internet, virus Blast sẽ tự động dò tìm ngày tháng của hệ thống đang sử dụng, sau đó tạo nên cuộc tấn công từ chối dịch vụ phân tán vào windowsupdate.com. Từ tháng 1 đến tháng 8, nó tấn công vào các ngày từ 16 đến 31; còn từ tháng 9 đến tháng 12, nó có thể tấn công bất kỳ ngày nào. Khi thực hiện cuộc tấn công này, con virus sẽ tạo nên một gói đặc biệt và gửi đến các địa chỉ đích với vận tốc 20 miligiây/gói. Gói này không chứa bất kỳ một dữ liệu nào ngoại trừ đầu đề của nó là TCP/IP với mục đích kiểm chứng địa chỉ IP của người gửi.
Đối tượng tấn công của virus Blast là các máy sử dụng hệ điều hành Windows XP, Windows Server 2003 và Windows 2000.
Đối với Windows XP và 2003, khi cuộc tấn công DCOM RPC diễn ra, dịch vụ Remote Procedure Call (RPC) ngừng hoạt động và khiến cho NTAUTHORITY\SYSTEM khởi động máy sau 60 giây (đây là cơ chế bảo mật mới của XP/2003). Máy khởi động lại khi dịch vụ RPC vẫn đang bị tấn công. Để hệ thống không khởi động lại, bạn cần áp dụng miếng vá Microsoft DCOM RPC.
Đối với Windows 2000, khi xảy ra cuộc tấn công DCOM RPC, dịch vụ RPC ngừng hoạt động và không tự động khởi động lại. Do có nhiều dịch vụ phải phụ thuộc vào RPC, một số dịch vụ có thể sẽ không hoạt động tốt.
Lây nhiễm trên mạng
Để xâm nhập vào các máy tính yếu, virus Blast cố gắng kết nối với các hệ thống đích khác thông qua cổng 135 bằng cách mở ra 20 kết nối hoặc chuỗi TCP để quét những địa chỉ IP bắt đầu từ địa chỉ IP gốc. Sau đấy, nó gửi gói SYN đến các địa chỉ IP ở xa và sử dụng cổng TCP 135 để phát động tấn công.
Con virus này dùng hai cách quét địa chỉ IP. Thứ nhất, nó sử dụng địa chỉ IP của máy bị nhiễm làm địa chỉ IP gốc có dạng A.B.C.D. Sau đấy, nó đặt D = 0 và kiểm tra giá trị của C. Nếu C lớn hơn 20, nó sẽ trừ của C một giá trị ngẫu nhiên bé hơn 20. Nếu không, nó sẽ giữ nguyên giá trị của C. Ví dụ: Giả sử địa chỉ IP của máy bị nhiễm là 210.23.19.101. Giá trị 69 sẽ được đổi thành bất kỳ số nào từ 50-69 bởi vì 69 lớn hơn 20; sau đấy, con virus sẽ trừ đi một giá trị ngẫu nhiên bé hơn 20. Giá trị 101 sẽ được chuyển thành 0. Khi đấy, virus Blast sẽ sử dụng địa chỉ IP 210.23.[50-69].0 làm địa chỉ IP gốc. Như vậy, nếu địa chỉ IP của máy bị nhiễm là 210.23.19.88 thì địa chỉ gốc sẽ là 210.23.19.0.
Thứ hai, nó tạo ra địa chỉ IP ngẫu nhiên. Con virus này lại mở ra 20 cổng nghe TCP ngẫu nhiên từ 1000 đến 5000 (số cổng khác nhau). Trong trường hợp này, địa chỉ IP có thể là các số từ 0.0.0.0 đến 255.255.255.0.
Virus Blast cũng có thể mở cổng 4444 và sử dụng làm lớp vỏ ngoài. Sau đấy, nó sẽ giả làm một server Trivial FTP để nghe tại cổng 69 của máy bị nhiễm. Sử dụng lớp vỏ ngoài, nó sẽ chỉ đạo máy đích ở xa download bản sao MSBLAST.EXE vào folder Windows System 32. Đường dẫn cho folder này thường là C:\Windows\System 32 hoặc C:\WINNT\System32.
Cuối cùng, con virus này sẽ chỉ thị cho máy đích chạy file vừa được download. Nó sẽ bắt đầu một vòng đời khác của con virus trên máy mới bị nhiễm.
Làm thế nào để thoát khỏi virus Blast?
Theo nhà cung cấp dịch vụ an ninh mạng F-Secure, bạn có thể tự mình thoát khỏi con virus này chỉ trong 5 phút. Trước hết, khởi động máy bị nhiễm. Nếu bạn vẫn còn nhận được thông báo "Tắt máy sau 60 giây", bạn hãy chọn Start\Run, sau đó cho chạy câu lệnh "shutdown-a". Download và chạy miếng vá Microsoft để bịt kín lỗ hổng RPC trên máy. Đối với Windows 2000: www.f-secure.com/dl-w2k/; đối với Windows XP: www.f-secure.com/dl-wxp/; đối với Windows NT4: www.microsoft.com/security/incident/blast.asp/. Sau đó, bạn download và chạy công cụ F-LOVSAN của F-Secure để tống con virus đáng ghét này đi: www.f-secure.com/anti-virus/tools/f-lovsan.zip.
(Thế Toàn - tổng hợp)