Những biến thể mới của Sasser và phương pháp diệt trừ

Ít nhất 2 phiên bản khác của virus này đã được phát hiện trên Internet hôm qua. Tuy nhiên, bất chấp sự xuất hiện của Sasser B và C, các công ty phần mềm diệt virus quốc tế cho rằng giai đoạn bùng phát đã lên đến đỉnh điểm và sẽ lắng dịu dần.

Sasser có cách tấn công tương tự như sâu Blaster, từng là nỗi kinh hoàng của hàng triệu máy tính nối mạng hồi mùa hè năm ngoái. Nó không cần người sử dụng phải mở e-mail hay kích hoạt file đính kèm. Thay vào đó, chỉ cần máy tính chạy Windows chưa nâng cấp kết nối vào mạng qua cổng 445 là lập tức bị nhiễm. Theo chuyên gia Graham Cluley của hãng Sophos, thời gian virus xâm nhập khi kết nối có thể chỉ là 2 phút. Công ty an ninh Anh còn cho biết hôm qua họ thậm chí đã xác định biến thể D của virus. Điểm đáng chú ý ở biến thể C là nó khắc phục thiếu sót ở phiên bản gốc về khả năng quét nhanh trên mạng để tìm mục tiêu mới.

Tuy nhiên, những phiên bản của Sasser được ghi nhận đến thời điểm này có tốc độ phát tán chậm hơn nhiều so với Blaster và đều đạt đến mức lây lan đỉnh điểm chỉ trong vài giờ sau khi xuất hiện. Hơn nữa, nhiều doanh nghiệp đã phong tỏa cổng 445 từ trước khi Sasser ra đời vì đây vốn là mục tiêu thường xuyên của những Trojan như Agobot.

Theo chuyên gia Johannes Ullrich, Giám đốc công nghệ của Trung tâm theo dõi biến động Internet của Viện SANS (Mỹ), trong mấy ngày qua Sasser đã kịp lây lan vào ít nhất vài chục nghìn PC trên thế giới. Giống như Blaster, sâu Sasser sau khi lắng dịu sẽ còn lẩn khuất trên mạng thông tin toàn cầu một thời gian dài vì đến tận bây giờ nhiều người sử dụng Internet vẫn còn bị nhiễm Blaster mà không hề hay biết trong nhiều tháng.

Hiện nay, Microsoft đang tích cực phối hợp với các cơ quan điều tra, trong đó có FBI và Lực lượng chống tội phạm điện tử của Mỹ, để truy tìm thủ phạm của sâu Sasser. Bên cạnh đó, hãng phần mềm cũng áp dụng một chính sách từng được họ thực hiện thành công trước đây là treo giải thưởng để khuyến khích mọi người cung cấp những thông tin dẫn đến việc tóm cổ tác giả virus. Hiện nay, Microsoft đang dành sẵn một quỹ giải thưởng có giá trị 5 triệu USD để phục vụ cho việc này. Tháng 1 năm nay, họ công bố mức thưởng 250.000 USD cho ai cung cấp thông tin giúp lần ra kẻ thiết kế và phát tán sâu Mydoom.B

Bkav516 cập nhật virus W32.Sasser.Worm

Mặc dù vẫn còn đang trong dịp nghỉ nhưng trong hai ngày qua, kể từ ngày 2/5/2004 và hôm nay 3/5/3004, chúng tôi đã liên tục nhận được những cuộc điện thoại từ nhiều nơi trong cả nước hỏi về sự xuất hiện của virus mới. Trong khi thế hệ virus Blaster và Welchia tạm lắng xuống thì trong mấy ngày nghỉ vừa qua, sự xuất hiện của virus mới mang tên W32.Sasser.Worm lại làm cho nhiều "nạn nhân" phải giật mình. Hiện tượng vẫn không khác so với trường hợp bị nhiễm virus Blaster trước đây, đó là: Khi máy tính được nối mạng thì chỉ sau vài phút liền bị Shutdown tự động, nếu ngắt mạng thì không xảy ra hiện tượng này. Do vẫn đang trong đợt nghỉ bù nên nhiều cơ quan chưa bắt đầu đi làm, nhưng trong sáng ngày mai, khi công việc tiếp tục trở lại, chúng tôi dự đoán rằng sẽ có nhiều máy tính trên cả nước bị nhiễm virus mới này. Hiện tại chúng tôi đã có được mẫu của virus và đã cập nhật chương trình diệt vào phiên bản Bkav516, chúng tôi đã hoàn tất khâu thử nghiệm phiên bản mới và tiến hành cập nhật lên website của Bkav. Sau đây là mô tả nhận dạng của virus và hướng dẫn xử lý:

Nếu máy tính của bạn có những triệu chứng như đề cập ở trên, bạn hãy làm theo các bước dưới đây. Cho dù máy tính của bạn không gặp những triệu chứng đó, nhưng nếu bạn đang sử dụng hệ điều hành Windows2000 hay WindowsXP thì cũng nên đọc hướng dẫn này để biết cách sửa lỗi cho Windows2000 và WindowsXP, đề phòng bị nhiễm những loại virus như W32.Sasser.Worm trong tương lai.

1. Trước tiên bạn hãy tải về các phần mềm sau:

a. Phiên bản Bkav516: Download chương trình Bkav2002 (Version 516)
b. Nếu máy tính của bạn sử dụng Windows2000: Bấm vào đây để tải về bản sửa lỗi cho Windows2000
c. Nếu máy tính của bạn sử dụng WindowsXP: Bấm vào đây để tải về bản sửa lỗi cho WindowsXP
d. Nếu máy tính của bạn sử dụng Windows Server™ 2003: Bấm vào đây để tải về bản sửa lỗi cho Windows Server™ 2003
e. Nếu máy tính của bạn sử dụng WindowsNT, WindowsXP 64-bit hoặc Windows Server 2003 64-bit: Bấm vào đây để tải về bản sửa lỗi tương ứng.

2. Bạn tiếp tục thực hiện theo đúng các bước sau:

a. Ngắt máy bị nhiễm ra khỏi mạng, copy Bkav516 và phần mềm sửa lỗi vừa tải về vào máy đó (sử dụng đĩa mềm hoặc USB Disk). Bạn phải sử dụng user có quyền administration.
b. Nếu bạn dùng Windows XP thì phải tắt chức năng System Restore của hệ điều hành này bằng cách sau: Bấm chuột phải vào biểu tượng "My Computer" trên DeskTop -> chọn Properties -> chọn tab "System Restore" -> check vào lựa chọn "Turn off System Restore".
c. Chạy Bkav516, quét toàn bộ các ổ đĩa cứng.
d. Khởi động lại máy, chạy Bkav516 lần thứ hai, quét toàn bộ các ổ đĩa cứng.
e. Chạy phần mềm sửa lỗi nói trên. Đây là bước rất quan trọng để ngăn chặn virus không tấn công trở lại, khi chạy phần mềm sửa lỗi này đòi hỏi Windows đã được cài bản Service Pack 2 trở lên đối với Windows2000, với Windows XP Service Pack 1 bạn có thể không cần phải cài đặt Service Pack 2, tuy nhiên bạn nên cài để vá các lỗ hổng khác..

Để cài đặt bản Service Pack 2 trở lên, bạn có thể download tại website của Microsoft, tuy nhiên do dung lượng tương đối lớn (129MB đối với bản Service Pack 4), vì vậy bạn nên ra hiệu đĩa CD để hỏi mua đĩa cài đặt bản Service Pack 4. Các bạn chú ý rằng việc cài đặt bản Service Pack chỉ là điều kiện để cài đặt bản sửa lỗi cho virus này chứ không phải chỉ cài đặt bản Service Pack là có thể ngăn chặn sự tấn công trở lại của virus. Bạn vẫn phải cài đặt bản sửa lỗi cho virus này sau khi cài đặt bản Service Pack.

Lưu ý: Sau khi xử lý xong tất cả các máy thì mới cho mạng hoạt động trở lại.

Hiện tại, chúng tôi vẫn đang tiếp tục nghiên cứu thêm các đặc tính của worm mới này và sẽ bổ sung thêm những thông tin chi tiết hơn.

Download chương trình Bkav2002 (Version 516)