 |
Các chuyên gia nghiên cứu virus của Central Command đã phát hiện ra một biến thể mới của loại sâu máy tính có tên là SoBig. Biến thể mới được ký hiệu là SoBig.D, hoạt động trong môi trường Windows 9x/Me/NT/2000/XP.
Giống như các loại sâu máy tính khác, SoBig.D lây lan qua phương tiện thư điện tử. Bức thư điện tử chứa SoBig.D có những đặc điểm sau:
Tiêu đề: Một trong tiêu đề sau
- Application Ref: 456003
- Re: Accepted
- Re: App. 00347545-002
- Re: Documents
- Re: Movies
- Re: Screensaver
- Re: Your Application (Ref: 003844)
- Your Application
Nội dung: ngẫu nhiên một nội dung nào đó
File đính kèm:
- Accepted.pif
- app003475.pif
- Application.pif
- Applications.pif
- Application844.pif
- Document.pif
- movies.pif
- ref_456.pif
- Screensaver.scr
Nếu người sử dụng nhắp mở file đính kèm, SoBig.D sẽ được kích hoạt. Nó sẽ cài bản sao vào thư mục C:\Windows dưới dạng một file có tên là ''cftrb32.exe''. Ngoài ra, con sâu này cũng sinh ra hai file mới tại:
- \Windows\All Users\Start Menu\Programs\StartUp\tên ngẫu nhiên.exe
- \Documents and Settings\All Users\Start Menu\Programs\Startup\tên ngẫu nhiên.exe
Để được kích hoạt mỗi khi người sử dụng khởi động lại máy tính, sâu SoBig.D sẽ tạo khóa registry:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
''SFtrb Service''=''%Windows%\cftrb32.exe''
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] (Windows NT)
''SFtrb Service''=''%Windows%\cftrb32.exe''
SoBig.D sẽ tìm kiếm các địa chỉ thư điện tử trong các file có phần mở rộng là dbx, eml, htm, html, txt, và wab. Sau đó, nó sẽ gửi bản sao đến tất cả các địa chỉ thư điện tử tìm thấy
Để có thể tiêu diệt SoBig.D người sử dụng nên cập nhật phần mềm chống virus của mình. Bên cạnh đó, không mở các bức thư điện tử được gửi đến từ một nơi không rõ xuất xứ.
Đăng Khoa - Theo Central Command
