Các chuyên gia an ninh mạng đang cảnh báo người dùng về sự xuất hiện 4 biến thể mới của virus Bagle (Q, R, S, T) và 1 trojan mang tên Phatbot. Những virus này đang phát tán nhanh trên mạng, đặc biệt là ở châu Á, bằng cách khai thác lỗ hổng của hệ điều hành Windows.
Khi lây nhiễm vào PC, Phatbot sẽ cố gắng sử dụng hệ thống đó để bom thư, lấy trộm khóa sản phẩm Windows, diệt các virus đã lây nhiễm trước như Blaster, Welchia, và Sobig.F, đồng thời đánh cắp thông tin đăng nhập vào kênh chat IRC, cũng như tên sử dụng và mật khẩu của mạng FTP. Nó còn vô hiệu hóa một số ứng dụng diệt virus và chặn truy cập vào nhiều trang web của các nhà cung cấp dịch vụ bảo mật. Qua trojan Phatbot, tin tặc có thể giành quyền kiểm soát các máy tính bị nhiễm, lấy cắp thông tin nhạy cảm.
Bốn biến thể Bagle cũng thực hiện cách thức lây nhiễm mới khiến cho công việc đối phó của các chuyên gia chống virus trở nên khó khăn hơn. Khác với những lần trước, 4 loại sâu này không mang theo file đính kèm chứa virus mà chúng sử dụng 1 lỗ hổng Windows (Microsoft công bố từ tháng 8-2003) để đột nhập vào các máy tính.
Graham Cluley, nhà tư vấn công nghệ của Sophos PLC (Anh) nhận xét: “Virus mới rất nguy hiểm, người dùng chỉ cần xem thông điệp trong e-mail là có thể bị nhiễm virus”.
4 virus Bagle đến từ e-mail với các địa chỉ người gửi giả mạo và mang các tiêu đề như: 'Re: Hello', 'Incoming message', 'Site changes' và 'Re: Hi'.
Những virus này khai thác lỗi Internet Explorer Object Data Remote. Đây là khiếm khuyết liên quan đến phương thức mà trình duyệt web của Microsoft phiên dịch dữ liệu HTTP. Microsoft đã cung cấp trong thông báo an ninh MS03-032 từ tháng 8-2003.
Khi người dùng mở hoặc xem e-mail trên các hệ thống Windows chưa vá lỗi, ngay lập tức thông điệp e-mail Bagle tải về máy tính một đoạn mã với phần mở rộng là PHP từ một trong các máy chủ web mà tác giả của nó đã xác định trước. Sau khi tải về xong, đoạn script này bắt đầu chạy và tải tiếp file chứa worm.
Giám đốc F-Secure, Mikko Hypponen, cho biết, họ đã lập tức gửi địa chỉ IP của tất cả các server chứa file virus này tới nhà chức trách để giải hoạt. Những biến thể mới cho thấy tác giả virus đang tiếp tục “thử nghiệm” các kỹ thuật mới để đánh lừa người dùng.
Các công ty diệt virus cho biết, trong số những virus Bagle xuất hiện, Bagle.Q là biến thể phát tán mạnh nhất và được hãng F-Secure xếp hạng nguy hiểm thứ 2. Bagle.Q đang lây nhiễm ở hơn 20 nước và Hàn Quốc bị tấn công mạnh nhất.
Tuy nhiên, tại Việt Nam, ông Nguyễn Tử Quảng, Giám đốc trung tâm, cho biết, đến chiều 19-3, 4 biến thể mới này và trojan Phatbot chưa xuất hiện. “Các biến thể trước của Bagle, virus SkyNet, Netsky và Mydoom vẫn đang phát tán mạnh. Do đó người dùng không nên chủ quan”, ông Quảng nói. BKAV đang tiếp tục theo dõi và tập trung viết chương trình để đối phó khi những virus này đổ bộ vào Việt Nam.