Cả NetSky.D và 5 biến thể Bagle đều chỉ tấn công Windows. |
Các công ty phần mềm diệt virus hiện chưa thống nhất quan điểm khi xếp loại NetSky.D. F-Secure, Kaspersky, Trend, Sophos coi loại này có nguy cơ cao, trong khi Networks Associates lại cho rằng khả năng tác động của nó chỉ ở mức trung bình, còn Symantec đưa virus mới vào nhóm nguy cơ thấp.
Trong ngày hôm qua, hãng lọc mail MessageLabs đã ngăn chặn được hơn 54.000 bản sao của nó, tuy nhiên, vẫn còn kém xa tốc độ phát tán của Mydoom. Sáng nay, sâu NetSky.D, sau khi đã lây nhiễm vào các máy tính, sẽ kích hoạt để loa PC liên tục phát ra tiếng kêu bip bip. Giống những virus trước, nó cố gắng tạo ra những thay đổi trong registry-key, bao gồm cả một số bản sao của MyDoom.A và B đã không còn hoạt động nhưng vẫn ẩn trong máy.
Theo chuyên gia Graham Cluley của Sophos, nếu mở file PIF đi kèm, virus sẽ nhanh chóng nhân bản, làm chậm tốc độ máy tính và đường truyền băng rộng e-mail. Ông này cho rằng hiện chưa nhiều người biết đến loại file này, vì thế khả năng họ mở ra là rất đáng kể. PIF (Program InFormation file) là một loại file chứa những thông tin về phương thức mà Windows chạy một ứng dụng không thuộc hệ điều hành này. Ví dụ, một file PIF có thể bao gồm những chỉ dẫn cho việc chạy một ứng dụng DOS trong môi trường Windows. Những chỉ lệnh đó quy định bao nhiêu dung lượng nhớ, con đường nào đi vào file thực hiện và sử dụng loại Windows nào.
Trong khi đó, các biến thể Bagle, từ C đến G, không có nhiều sự khác biệt, trong đó chỉ có virus C thuộc loại nguy cơ trung bình. Cả 5 phiên bản đều tấn công Windows và mở một cổng TCP để nhận lệnh của tin tặc từ xa. Có vẻ như nhiều tin tặc đang cố gắng sử dụng những chiến thuật khác nhau để lừa người sử dụng góp phần phát tán mã của chúng.
Bagle.C xuất hiện trong e-mail dưới dạng một file nén .exe, trên đó có biểu tượng một bảng tính Excel. Virus này sử dụng nhiều dòng chủ đề và tên file đính kèm khác nhau. Nội dung thông điệp hoàn toàn trống không và địa chỉ người gửi hiện lên trong thư thì bị giả mạo. Virus sẽ xâm nhập hệ thống khi bạn mở file đính kèm. Theo F-Secure, sâu này mang một bộ phận cửa hậu có khả năng tắt các chức năng bảo vệ của phần mềm an ninh. Nó còn được dùng để thu thập địa chỉ e-mail trong các máy bị nhiễm và tự nhân bản vào đó bằng công cụ SMTP riêng. Sâu này được lập trình để ngưng phát tán sau ngày 14/3.
Bản F và G sử dụng file zip có bảo vệ bằng password để qua mặt công cụ quét của phần mềm an ninh. Tuy nhiên, tin tặc phải nhồi thông tin của mật khẩu này vào trong nội dung thông điệp e-mail trước khi người sử dụng có thể mở được file nén mang virus. Điều này, do đó, làm cho sâu khó phát tán hơn.
Để đối phó với đám virus mới, lời khuyên của các chuyên gia cho người sử dụng là hãy phong tỏa những file thực hiện ngay từ cửa hệ thống, không bao giờ mở file đính kèm e-mail không rõ danh tính, nâng cấp các file chữ ký của phần mềm chống virus.
Phan Khương