Cảnh báo Trojan phát tán số lượng lớn

Các công ty phần mềm chống virus và an ninh e-mail hôm qua thông báo một chương trình gián điệp có tên “Backdoor-CGT” đang phát tán mạnh trên Internet thông qua spam và đã lây lan vào ít nhất hàng nghìn máy tính.

Backdoor-CGT là một dạng Trojan mới, xâm nhập sau khi người nhận e-mail dùng Outlook đi theo một đường link nhúng trong thông điệp thư. Theo Maksym Schipka, chuyên gia virus của hãng MessageLabs (Anh), họ đã nhận được hơn 3.600 e-mail chứa đường link dẫn tới Backdoor-CGT trong vòng 2 tiếng sau khi chương trình này xuất hiện. Con số này rất bất thường vì lớn gấp 10 lần so với mức thông thường của một Trojan như vậy.

Backdoor-CGT sử dụng dạng tấn công “đa giai đoạn” để đặt mã phá hoại vào máy mục tiêu. Sau khi click vào đường link trong thư rác, người nhận thư được dẫn tới một loạt website khác nhau, mỗi địa chỉ thực hiện một giai đoạn của cuộc tấn công. Kỹ thuật này lợi dụng một lỗ hổng đã được khắc phục trong Outlook - gọi là “IFRAME” - để giấu những đường dẫn web lừa người sử dụng, đồng thời lặng lẽ tải và cài đặt Backdoor-CGT.

Một khi đã chui vào máy tính, Backdoor-CGT lựa chọn một cổng giao tiếp bất kỳ và mở ra. Sau đó, nó tạo một cổng hậu trên hệ thống nạn nhân. Backdoor này được dùng để liên lạc với một máy chủ được coi là đã bị khống chế bởi các tác giả của thủ đoạn này. Website mà những máy tính bị khống chế sử dụng được đăng ký với tên miền “.biz”, thuộc về một cá nhân ở Cộng hòa Czech và hiện vẫn hoạt động mặc dù lưu thông rất chậm vì quá tải.

Trong khi đó, hãng phần mềm an ninh McAfee cũng đưa ra cảnh báo về một Trojan mà họ gọi là SS, nhưng mức nguy hiểm được đánh giá thấp hơn. Công ty này cho rằng SS không đặt ra một mối đe dọa lớn đối với cả người sử dụng gia đình và các doanh nghiệp.

Một số nhà cung cấp giải pháp bảo mật khác không có phản hồi ngay về những thắc mắc liên quan đến Backdoor-CGT. Không biết là họ chưa xác định được chương trình này hay sản phẩm an ninh của họ có đủ khả năng khắc chế Trojan mới nên không cần cảnh báo.

Tuy nhiên, trước khi Backdoor-CGT có thể được download và cài đặt vào máy nạn nhân, những kẻ tấn công còn cố đặt một ứng dụng khá phổ biến khác, gọi là trình “thả” (dropper). Hầu hết công cụ an ninh hiện nay đều có thể phát hiện và ngăn ngừa dạng phần mềm này lây lan.

Các chương trình gián điệp thường tạo đường truy cập từ xa cho hacker vào hệ thống nạn nhân hoặc giúp chúng khống chế máy tính bị nhiễm. Thông thường, người sử dụng không thể phát hiện dạng phần mềm này hoặc chúng giả dạng là những ứng dụng hợp lệ trên hệ thống.

Người sử dụng Outlook được khuyến cáo nên áp dụng bản nâng cấp mới nhất cho chương trình gửi nhận e-mail này để đề phòng lây nhiễm Backdoor-CGT. McAfee hôm qua cũng đã phát hành một số file an ninh cập nhật để phát hiện Trojan mới.

Phan Khương (theo InfoWorld)