Bugbear-B đang lây nhiễm mạnh ở Việt Nam

Các chuyên gia dự đoán Bugbear-B sẽ tiếp tục phát tán mạnh trong những ngày tới.

"Trong 3 ngày qua, chúng tôi nhận được hàng trăm e-mail của người dùng máy tính trong nước hỏi về cách khắc phục sự cố do Bugbear-B (Tanatos-B) gây ra. Ở Việt Nam, con sâu này hoạt động mạnh nhất vào ngày 9/6”, ông Nguyễn Tử Quảng, Giám đốc Trung tâm an ninh mạng BKIS, cho biết.

Theo đánh giá của ông Quảng, Bugbear-B là loại virus lây lan nhanh và nguy hiểm nhất ở Việt Nam trong thời gian gần đây. Hiện mỗi ngày có tới 100 e-mail do Bugbear tự động gửi đến địa chỉ của trung tâm từ các máy nạn nhân. Khác với Bugbear đã từng biết trước đây, Bugbear-B có khả năng lây và ghép vào các file của người sử dụng. Dấu hiệu nhiễm "ngáo ộp" này rõ nhất là máy in tự động in ra các ký tự rác và người dùng không gõ được văn bản tiếng Việt.

Bugbear-B nguy hiểm ở chỗ khi lây nhiễm vào máy tính của người dùng, virus tìm kiếm các địa chỉ e-mail trong máy và gửi mình tới những địa chỉ khác trong hộp thư. Như vậy, máy của người nhận được e-mail này sẽ lập tức bị nhiễm Bugbear, thậm chí khi thư chưa được mở. Sâu còn cài một chương trình ghi phím gõ và mở cổng TCP (1080) trên hệ thống bị nhiễm, để từ đó hacker có thể ăn trộm thông tin quan trọng như mật khẩu, tên người dùng, số thẻ tín dụng và thực hiện nhiều lệnh khác.

Trên thế giới, số máy tính bị nhiễm Bugbear-B qua đường e-mail và ổ cứng chia sẻ nối mạng tiếp tục tăng mạnh từ ngày 6/6. Công ty bảo mật MessageLabs nhận được hơn 3.000 báo cáo lây nhiễm chỉ trong 1 giờ. Con số này gợi lại sự tàn phá tồi tệ của sâu Nimda.

Hôm qua, chính phủ Mỹ gửi thư cảnh báo các tổ chức tài chính về sự xuất hiện của Bugbear trong hệ thống máy tính của 1.200 ngân hàng trên thế giới. Theo nghiên cứu của FBI, cuộc tấn công ban đầu của Bugbear-B chỉ nhằm vào khối kinh tế. Họ tìm thấy trong đoạn mã phần mềm chứa danh sách 1.200 địa chỉ website của các tổ chức tài chính lớn nhất thế giới như J.P. Morgan Chase, American Express, Wachovia, Ngân hàng Mỹ, Citibank N.A...

Bằng chứng cho thấy là Bugbear-B được lập trình để quyết định liệu một nạn nhân sử dụng địa chỉ e-mail có thuộc vào danh sách 1.300 công ty tài chính hay không. Nếu đúng như vậy, sâu sẽ ăn trộm mật khẩu, tên người sử dụng và thực hiện nhiều lệnh khác để giúp hacker dễ dàng đột nhập vào hệ thống ngân hàng.

Sau đó, Bugbear-B chuyển mật khẩu tới 10 địa chỉ e-mail của hacker. Các chuyên gia cho rằng khó mà lần ra dấu vết thủ phạm vì tin tặc có thể mở nhiều tài khoản thư điện tử miễn phí với tên giả.

Nhiều chuyên gia dự đoán rằng biến thể mới của Bugbear sẽ không suy giảm sớm. Cơ chế lây lan qua e-mail của các loại sâu như Bugbear.B có thể giúp chúng tồn tại trong vài tháng, thậm chí cả năm.

Ông Quảng cho biết, BKIS phát hành phiên bản BKAV 465 có thể diệt virus này và cập nhật thêm các virus khác. Chẳng hạn, W95.ILMX là virus lây file PE trên hệ điều hành Windows, W32.Nolor.B là biến thể của W32.Nolor, và W32.Sobig.B và W32.Sobig.C là 2 virus giả danh Microsoft đã phát tán trên 96 nước, trong đó có Việt Nam. Trung tâm khuyến cáo nạn nhân sau khi diệt xong Bugbear nên đổi mật khẩu trên máy của mình, để đề phòng virus gửi những mật khẩu đó ra ngoài. Người dùng có thể tải BKAV 465 tại đây.

Cách thức lây nhiễm của BugBear-B:

Khi virus BugBear.B được kích hoạt, nó copy bản thân vào thư mục \Startup dưới tên một chương trình mà virus chọn, dạng ????.exe, cụ thể là:

  C:\Windows\Start Menu\Programs\Startup\Cyye.exe khi mà nó được chạy trên nền Windows 95/98/Me.

· C:\Documents and Settings\<current user name>\Start Menu\Programs\Startup\Cti.exe khi nó chạy trên nền hệ điều hành Windows NT/2000/XP.

1. Tìm kiếm các địa chỉ trong các file có phần mở rộng là: .mmf, .nch, .mbx, .eml. .tbb, .dbx, .ocs.

2. Lấy thông tin địa chỉ email của người sử dụng trong registry ở key

3. Sử dụng account đó để gửi chính bản thân nó đến các địa chỉ mà nó tìm được dưới dạng một thư điện tử có phần subject là: Hello!, update, hmm, Payment notices, Just a reminder, Correction of errors, history screen, Announcement, various, Introduction, Interesting..., I need help about script!!!, Stats, Please Help..., Report, Membership Confirmation, Get a FREE gift!, Today Only, New Contests, Lost & Found, bad news, wow!, fantastic, click on this!, Market Update Report, empty account, My eBay ads, Cows, 25 merchants and rising, CALL FOR INFORMATION!, new reading, Sponsors needed, SCAM alert!!!, Warning!, its easy, free shipping!, News, Daily Email Reminder, Tools For Your Online Business, New bonus in your cash account, Your Gift, Re:, $150 FREE Bonus!, Your News Alert, Hi!, Get 8 FREE issues - no risk!, Greets!

4. Tên các file đính kèm thường là tên các file được tìm trong thư mục My Documents có phần mở rộng là: .reg, .ini, .bat, .diz, .txt, .cpp, .html, .htm, .jpeg, .jpg, .gif, .cpl, .dll, .vxd, .sys, .com, .exe, .bmp.

5. Và file virus đính kèm thường là các file có phần mở rộng là: .scr, .pif và .exe. Thêm vào đó các file đính kèm đó thường có thêm nội dung là: readme, Setup, Card, Docs, news, image, images, pics, resume, photo, video, music, song, data.

Cách thức lây lan trong mạng nội bộ:

6. Worm này có thể lây vào các file được chia sẻ trên mạng và chúng lựa chọn các file sau để lây: scandskw.exe, regedit.exe, mplayer.exe, hh.exe, notepad.exe, winhelp.exe, Internet Explorer\iexplore.exe, adobe\acrobat 5.0\reader\acrord32.exe, WinRAR\WinRAR.exe, Windows Media Player\mplayer2.exe, Real\RealPlayer\realplay.exe, Outlook Express\msimn.exe, Far\Far.exe, CuteFTP\cutftp32.exe, Adobe\Acrobat 4.0\Reader\AcroRd32.exe, ACDSee32\ACDSee32.exe, MSN Messenger\msnmsgr.exe, WS_FTP\WS_FTP95.exe, QuickTime\QuickTimePlayer.exe, StreamCast\Morpheus\Morpheus.exe, Zone Labs\ZoneAlarm\ZoneAlarm.exe, Trillian\Trillian.exe, Lavasoft\Ad-aware 6\Ad-aware.exe, AIM95\aim.exe, Winamp\winamp.exe, DAP\DAP.exe, ICQ\Icq.exe, kazaa\kazaa.exe, winzip\winzip32.exe.

7. Virus này cố gắng lây lan vào tất cả các máy trên mạng và chèn vào thư mục Startup. Virus không phân biệt được đâu là máy in đâu là máy tính vì vậy trong quá trình lây lan nó chiếm tài nguyên của máy in chia sẻ làm máy in in ra những ký tự rác.

8. Keylog

Virus này tạo ra một file dll có tên ngẫu nhiên để ghi lại các phím dưới dạng keylog. File này nằm trong thư mục \Windows\system, file này có kích thước 5632 byte và được biết đến như là Trojan: PWS.Hooker.Trojan.

9. Các tiến trình mà virus tự động kết thúc trong khi thực thi:

• ZONEALARM.EXE
• WFINDV32.EXE
• WEBSCANX.EXE
• VSSTAT.EXE
• VSHWIN32.EXE
• VSECOMR.EXE
• VSCAN40.EXE
• VETTRAY.EXE
• VET95.EXE
• TDS2-NT.EXE
• TDS2-98.EXE
• TCA.EXE
• TBSCAN.EXE
• SWEEP95.EXE
• SPHINX.EXE
• SMC.EXE
• SERV95.EXE
• SCRSCAN.EXE
• SCANPM.EXE
• SCAN95.EXE
• SCAN32.EXE
• SAFEWEB.EXE
• RESCUE.EXE
• RAV7WIN.EXE
• RAV7.EXE
• PERSFW.EXE
• PCFWALLICON.EXE
• PCCWIN98.EXE
• PAVW.EXE
• PAVSCHED.EXE
• PAVCL.EXE
• PADMIN.EOUTPOST.EXE
• NVC95.EXE
• NUPGRADE.EXE
• NORMIST.EXE
• NMAIN.EXE
• NISUM.EXE
• NAVWNT.EXE
• NAVW32.EXE
• NAVNT.EXE
• NAVLU32.EXE
• NAVAPW32.EXE
• N32SCANW.EXE
• MPFTRAY.EXE
• MOOLIVE.EXE
• LUALL.EXE
• LOOKOUT.EXE
• LOCKDOWN2000.EXE
• JEDI.EXE
• IOMON98.EXE
• IFACE.EXE
• ICSUPPNT.EXE
• ICSUPP95.EXE
• ICMON.EXE
• ICLOADNT.EXE
• ICLOAD95.EXE
• IBMAVSP.EXE
• IBMASN.EXE
• IAMSERV.EXE
• IAMAPP.EXE
• FRW.EXE
• FPROT.EXE
• FP-WIN.EXE
• FINDVIRU.EXE
• F-STOPW.EXE
• F-PROT95.EXE
• F-PROT.EXE
• F-AGNT95.EXE
• ESPWATCH.EXE
• ESAFE.EXE
• ECENGINE.EXE
• DVP95_0.EXE
• DVP95.EXE
• CLEANER3.EXE
• CLEANER.EXE
• CLAW95CF.EXE
• CLAW95.EXE
• CFINET32.EXE
• CFINET.EXE
• CFIAUDIT.EXE
• CFIADMIN.EXE
• BLACKICE.EXE
• BLACKD.EXE
• AVWUPD32.EXE
• AVWIN95.EXE
• AVSCHED32.EXE
• AVPUPD.EXE
• AVPTC32.EXE
• AVPM.EXE
• AVPDOS32.EXE
• AVPCC.EXE
• AVP32.EXE
• AVP.EXE
• AVNT.EXE
• AVKSERV.EXE
• AVGCTRL.EXE
• AVE32.EXE
• AVCONSOL.EXE
• AUTODOWN.EXE
• APVXDWIN.EXE
• ANTI-TROJAN.EXE
• ACKWIN32.EXE
• _AVPM.EXE
• _AVPCC.EXE
• _AVP32.EXE

10. Cơ cấu backdoor:

Virus mở và chờ cổng 1080. Hacker có thể kết nối vào cổng này để làm các công việc sau:

· Xoá file
· Dừng các tiến trình
· Liệt kê các tiến trình và chuyển cho hacker
· Copy file
· Khởi tạo một tiến trình
· Liệt kê các file và gửi cho hacker.

Minh Nghĩa