NetSky và Mydoom trở lại, Korgo ngày càng nguy hiểm

Trong khi Sophos (Anh) cảnh báo sự gia tăng rất nhanh số vụ lây lan NetSky.P trong tuần qua thì Kaspersky (Nga) cho biết virus Plexus.A, được viết từ mã Mydoom, đã xuất hiện. Sâu Korgo, khai thác lỗi LSASS của Windows, tiếp tục mở rộng mạng máy tính bị khống chế với những biến thể mới.

NetSky.P xuất hiện cách đây 3 tháng và đang lây lan trở lại với tốc độ khá nhanh nhờ khả năng giả dạng các ấn phẩm liên quan đến nhân vật Harry Porter, đặc biệt là bộ phim Harry Potter và người tù ở Azkaban đang được quảng cáo rầm rộ đầu tuần này ở Anh và Bắc Mỹ. Chính vì lý do này, những người sử dụng trẻ tuổi ham thích nhân vật Potter là mục tiêu chính của virus. Hãng phần mềm bảo mật khuyến cáo các bậc phụ huynh nên nhắc nhở con em cảnh giác khi truy nhập những nội dung nêu trên để đề phòng virus.

Không chỉ lợi dụng cái tên Harry Potter, biến thể P từng rất thành công khi ẩn núp trong những file có tiêu đề rất hấp dẫn mang hình ảnh khêu gợi của cô ca sĩ Britney Spears. Giống như hầu hết các biến thể NetSky khác, bản P phát tán chủ yếu qua mạng chia sẻ file và vì thế nó là một mối đe dọa tiềm tàng đối với những dịch vụ như Kazaa. Trend Micro xếp NetSky.P vào một trong những phần mềm phá hoại phổ biến nhất trong 7 ngày qua với trên 45.000 vụ lây nhiễm.

Trong khi đó, nhà cung cấp phần mềm an ninh Nga Kaspersky vừa thông báo một số hacker đã dùng mã của Mydoom để tạo ra một loại sâu Internet mới rất nguy hiểm với khả năng sử dụng cùng lúc nhiều phương thức lây lan. Sâu này có tên Plexus.A, tấn công qua cả e-mail, mạng chia sẻ file và khai thác các khiếm khuyết Windows (trong đó lỗ hổng LSASS mà sâu Sasser khai thác và lỗi RPC DCOM mà Blaster tấn công).

Kaspersky cho biết những cách tấn công khác nhau nói trên cho phép Plexus xâm nhập rất nhiều máy tính. Kể từ sau Nimda, chưa có loại sâu nào dùng nhiều kênh lây lan cùng lúc như vậy. Hãng phần mềm diệt virus Nga xếp Plexus ở nguy cơ trung bình vì chưa lan nhanh đến mức như Sasser hay Blaster. Lo ngại chính từ loại sâu mới là việc nó mở cổng hậu trên máy tính mục tiêu. Những PC này sau đó có thể bị dùng để phát tán thư rác hoặc làm nền cho các cuộc tấn công từ chối dịch vụ. Động cơ của tác giả Plexus hiện chưa được làm rõ.

Plexus.A - chỉ tấn công Windows - sử dụng ít nhất 5 kiểu đầu thư (header) khác nhau để lừa bịp người nhận. Mỗi thông điệp có header, nội dung và phần đính kèm khác nhau. Đặc điểm duy nhất không thay đổi là kích thước file: 16.208 byte khi nén bằng FSG và 57.856 byte nếu không nén. Khi xâm nhập PC, virus sao chép vào registry của Windows dưới cái tên upu.exe và tự kích hoạt mỗi khi máy tính khởi động. Plexus gửi bản sao của nó vào các địa chỉ e-mail ăn cắp từ ổ cứng máy nạn nhân và ngăn cản người dùng phần mềm Kaspersky tải chương trình update. Nó cũng đồng thời quét Internet để phát hiện PC mang những khiếm khuyết nói trên, mở backdoor tại cổng 1250 để cho phép hacker từ xa upload file vào và ra máy tính nạn nhân.

Xuất hiện từ tuần trước, sâu Korgo, hay còn gọi là Padobot, tiếp tục được các hãng phần mềm an ninh nâng mức cảnh báo sau khi nó liên tiếp cho ra những biến thể mới. Theo hãng F-Secure (Phần Lan), bản Korgo đầu tiên (A) được viết bằng ngôn ngữ C++, có dung lượng khoảng 10 KB và được “đóng gói” bằng UPX. Khi tấn công, sâu này tự sao chép vào thư mục hệ thống Windows dưới những tên file bất kỳ. Khi bị Korgo xâm nhập, máy tính sẽ hiển thị một thông báo lỗi cho biết dịch vụ giám sát an ninh nội bộ LSASS không hoạt động và sau đó máy tính thường bị buộc phải khởi động lại. Những biện pháp chống Korgo hiện nay gồm có tải bản vá lỗi cho Windows, nâng cấp file chữ ký trong phần mềm diệt virus và dùng tường lửa.

Hãng Symantec (Mỹ) đã nâng cảnh báo về biến thể Korgo.F từ mức 2 lên 3/5 với thông báo rằng, trong ngày hôm qua, họ đã ghi nhận sự gia tăng đột biến các vụ lây nhiễm loại sâu này ở các doanh nghiệp và hộ gia đình. Phiên bản phổ biến nhất hiện nay của Korgo là bản G và những biến thể mới thay đổi nội dung rất nhanh.

Sự thành công nhanh chóng của những chương trình phá hoại như Plexus và Korgo một lần nữa cho thấy còn rất nhiều người chưa áp dụng phần mềm khắc phục khiếm khuyết cho Windows. Rất có thể trong đợt phát hành chương trình nâng cấp định kỳ hằng tháng sắp tới (vào thứ 3 tuần sau), Microsoft sẽ còn khá nhiều việc phải làm với cộng đồng khách hàng của mình.

Phan Khương