 |
|
|
Các chuyên gia chưa khẳng định nhưng cho rằng rất có thể đây là biến thể tiếp theo của sâu Mimail nên còn gọi nó là MiMail.R.
Mydoom nằm trong e-mail mang một số dòng chủ đề như HELLO, Mail Delivery System, Test hay Mail Transaction Failed hoặc chủ đề trống (blank), trong đó có rất nhiều nội dung và file đính kèm khác nhau. Khi đã cài được vào máy tính, nó sẽ làm hiển thị những ký tự bất kỳ, đồng thời tạo ra một bản sao mới. Nó cũng sẽ chỉnh sửa phần Windows registry trong máy bị nhiễm để chạy mã phá hoại khi PC khởi động (start-up). Mydoom còn có thể mở một cổng TCP để nhận lệnh của kẻ tấn công từ xa.
Hãng phần mềm an ninh F-Secure (Phần Lan) cho biết Mydoom đã tấn công địa chỉ sco.com bằng một cuộc tấn công từ chối dịch vụ. Nó có thể phát tán qua cả thư điện tử và hệ thống chia sẻ file Kazaa. Cùng trong ngày hôm qua, công ty diệt virus Computer Asscociates cũng đã phát hiện tới 11 phiên bản của con sâu mới. Điều này càng khẳng định tốc độ lây lan và nguy cơ đáng báo động của Mydoom. McAfee, một nhà cung cấp chương trình an ninh nổi tiếng khác, còn đang phân tích các bản sao mà họ chặn được và chưa thể cung cấp thêm thông tin ngoài một điều chắc chắn: đây là một virus có nguy cơ cao.
Trong khi đó, chỉ trong vòng 1 tiếng, hãng Network Associates nhận được 19.500 e-mail mang virus này, được gửi đi từ 3.400 địa chỉ Internet khác nhau. Một công ty viễn thông lớn ở Mỹ thậm chí đã tạm ngừng hoạt động cổng e-mail của mình để ngăn chặn virus. Sharon Ruckman, một giám đốc của nhà cung cấp chương trình chống virus Symantec, cho biết: Rất nhiều thông tin liên quan đến virus Mydoom được mã hóa, vì thế chúng tôi phải giải mã để phân tích. Trung tâm phản ứng nhanh của hãng này trong giờ đầu tiên sau khi Mydoom xuất hiện cũng đã nhận được 40 thông báo của khách hàng, một tỷ lệ theo họ là khá cao.
Scott Petry, Phó giám đốc của mạng dịch vụ e-mail Postini, nhận định: Với tốc độ phát tán hiện nay, chúng tôi có thể nhận được tới gần 8 triệu e-mail mang virus mỗi ngày. Hồi Sobig-F bùng phát tháng 8 năm ngoái, chúng tôi cũng chỉ phải lọc có 1.400 bản sao trong ngày đầu tiên và 3,5 triệu khác trong vòng 24 tiếng vào thời điểm cao trào của đợt phát tán. Theo Petry, những hệ thống lọc mail với khả năng loại bỏ file thực hiện (executable) đính kèm trong e-mail có thể ngăn chặn được Mydoom tiếp tục lây lan.
Chuyên gia diệt virus Nguyễn Tử Quảng vừa cho VnExpress biết sâu này cũng đã có mặt ở Việt Nam với tốc độ phát tán rất nhanh. Hiện Trung tâm An ninh mạng BKIS đang phân tích mức độ nguy hiểm của Mydoom và sẽ thông tin cụ thể trên trang web www.bkav.com.vn vào chiều nay.
Cuối tuần qua cũng ghi nhận sự trở lại của một sâu e-mail khác là Dumaru. Không giống với những phiên bản đầu, Dumaru-J lây lan qua một file đính kèm dạng zip thay vì dùng file thực hiện. Nếu người nhận mở file này và click vào myphoto.jpg.56 (spaces). exe, virus sẽ bắt đầu gây khó chịu.
E-mail chứa Dumaru có dòng chủ đề: "Important information for you. Read it immediately!" (Thông tin quan trọng cho bạn. Đọc ngay!). Khi đã nhiễm vào máy, Dumaru quét ổ cứng tìm các địa chỉ e-mail để làm mục tiêu gửi qua giao thức truyền thư SMTP của riêng nó trên cổng 25. Đặc điểm đáng lo nhất của phiên bản mới là nó có thể mở và nhận lệnh từ xa trên cổng TCP 10.000, nhờ đó tin tặc có thể tự do ra vào hệ thống.
Khi đã xâm nhập, nó sẽ tìm cách tạo ra một bản sao trong thư mục hệ thống Windows System dưới dạng l32x.exe và vxd32v.exe. Sau đó, nó sẽ tìm cách lưu file rundllx.sys cũng vào thư mục này, đồng thời lưu một bản sao khác vào thư mục Windows Startup dưới dạng dllxw.exe.
Dumaru-J còn tạo ra file zip.tmp trong Windows Temp dưới dạng một bản sao mà nó sẽ gửi tới các địa chỉ mục tiêu. Windows registry cũng bị chỉnh sửa để virus chạy một chương trình Trojan ngay khi PC khởi động: HKLM\Software\Microsoft\Windows\CurrentVersion\Run load32=C:\WINDOWS SYSTEM DIRECTORY\l32x.exe.
Dumaru.J cũng có thể tạo ra registry key sau: HKLM\Software\SARS.
Mặc dù các công ty phần mềm diệt virus xếp Dumaru vào loại có nguy cơ trung bình, việc nó được truyền qua một file zip lại là một điều cần chú ý vì rất nhiều doanh nghiệp cho phép lưu thông loại file này qua hệ thống mail.
Dưới đây là hình e-mail mang virus rất phổ biến đã xuất hiện cả ở Việt Nam:
Phan Khương