 |
|
|
Đây là một dạng file không phổ biến đối với người sử dụng thông thường và không bị các doanh nghiệp phong tỏa ở cổng hệ thống. Bagle.N và O lập password cho các file .RAR và .ZIP trong thông điệp không phải dưới dạng text mà là bằng đồ họa nhúng - một biện pháp thường được dùng để ngăn cản quá trình tạo tài khoản e-mail tự động của các spammer và nhiều website cũng dùng để tránh bị ăn cắp địa chỉ thư điện tử.
Khi Bagle lần đầu xuất hiện trong những file .ZIP mã hóa, các công ty phần mềm an ninh đối phó bằng cách quét thông điệp thư để tìm password trong text. Việc tác giả của sâu chuyển sang dùng hình ảnh cho mật mã khiến công tác xử lý nó trở nên khó hơn, nhất là khi xác định bên trong thông điệp có chứa mã phá hoại hay không và khống chế file .RAR như thế nào. Tuy nhiên, một số công ty phần mềm chống virus tuyên bố đã có sự điều chỉnh phù hợp để khắc chế được loại sâu mới.
Theo Graham Cluley, chuyên gia hàng đầu của Sophos, tác giả của những biến thể mới đang cố gắng gây khó khăn cho công cụ bảo vệ hệ thống. Tuy nhiên, những sản phẩm canh cổng của nhà cung cấp này vẫn có thể ngăn chặn và phòng ngừa trước khi chúng mò được vào các máy để bàn đơn lẻ.
Bagle.N và O là hai virus rất khó diệt bởi vì mã của chúng được gắn một cách ngẫu nhiên vào các file thực hiện 32 bit trên ổ cứng trên những máy bị lây nhiễm - trong đó có hai chương trình Microsoft Word và Internet Explorer - và sau đó tái xâm nhập vào những hệ thống đã được quét mỗi khi các ứng dụng này hoạt động. Từ hôm 13/3 đến giờ, hãng MessageLabs đã ngăn chặn được 11.105 bản sao của biến thể N. Biến thể này được lập trình để ngừng hoạt động vào ngày 31/12/2005.
Đặc điểm chung của loạt virus Bagle mà bản N và O đều có là việc chúng mở một cổng hậu (nhận lệnh ở cổng TCP 2556) trên máy tính để những loại mã bổ sung có thể tiếp tục được cài vào máy nạn nhân, phát tán qua e-mail bằng một loạt dòng chủ đề khác nhau và cố gắng tắt hết những chương trình diệt virus mà chúng phát hiện trên hệ thống.
Phan Khương