Cảnh báo: Sâu Bagle phát tán mạnh trên mạng

Một biến thể sâu mới đang nhanh chóng phát tán từ châu Á và châu Âu sang Bắc Mỹ, làm đầy tràn dung lượng hòm thư của người sử dụng.

Alex Shipp, chuyên gia chống virus cao cấp của MessageLabs, cho biết đây là biến thể mới của sâu Bagle, với sức công phá tương đương với MyDoom, loại virus từng biến Google và các site tìm kiếm Internet khác trở thành những "con rùa bò" hồi tháng giêng. Hiện tại, MessageLabs đã nhận được khoảng 900.000 email có chứa virus. Theo ước tính của Shipp thì con số này chỉ chiếm khoảng 1% tổng số email có chứa loại sâu nói trên phát tán trong đợt này mà thôi. Do mỗi máy tính thường phải tiếp nhận cùng lúc nhiều email có chứa sâu và virus nên khó mà dự đoán được chính xác số người sử dụng bị "dính".

Nhận diện

Với các tên gọi Bagle.AT, Bagle.BB và Bagle.AU, loạt biến thể mới tự nguỵ trang cho chúng dưới dạng những câu chuyên cười. Nếu bạn nhận được những file có phần đính kèm là "Joke" hoặc "price" thì tốt nhất là hãy cẩn thận, rất có thể chúng đang ủ mã virus bên trong.

Phần thân của virus thường không có nội dung gì, ngoại trừ một biểu tượng emoticon hoặc một mặt cười. Chúng có thể hạ gục tất cả các máy tính chạy hệ điều hành Windows 95,98, ME,NT, 2000 và XP.

Tiêu đề thường gặp của các tin nhắn giả danh là Re:,Re:Hello, Re:Hi, Re:Thanks, Re:Thanks you.

Sau khi xâm nhập vào máy, virus sẽ "hốt" tất cả địa chỉ email có trong Microsoft Outlook rồi sử dụng phần mềm gửi mail tự động để tự phát tán tới những nạn nhân mới. Các máy tính nạn nhân sẽ bị tắt hết các hệ thống bảo mật như tường lửa và phần mềm chống virus chuyên bảo vệ máy tính. Riêng máy tính Win XP còn bị vô hiệu hoá cả dịch vụ bảo mật trung tâm bởi biến thể Bagle.AT.

Một hãng phần mềm bảo mật khác là McAfee cho biết biến thể mới của Bagle tuy lây lan nhanh trong suốt ngày hôm qua, song có vẻ như nó "tha không phá huỷ file hoặc tàn phá phần mềm". Các phiên bản biến thể đều có thể lan truyền qua đường email lẫn file chia sẻ. Chúng tự đính kèm theo file rồi tự động gửi đến các địa chỉ email mà chúng tìm thấy trong máy tính bị nhiễm. Nếu người nhận mở ra, Bagle sẽ tạo ra một chương trình cửa sau. Nếu người khác giao tiếp với máy bị nhiễm sâu, file độc hại sẽ tự động lây lan sang máy tính của anh ta. Nguy hiểm hơn, biến thể Bagle lần này còn vô hiệu hoá được các phần mềm bảo mật.

McAfee nhận được những báo cáo đầu tiên về biến thể mới từ châu Âu. Trong khi đó, Symantec lại cho biết những lời phàn nàn đầu tiên đến từ Nhật Bản. Còn đầu ngày hôm qua, Bagle đã hạ cánh xuống đất Mỹ. Tuy nhiên, theo các chuyên gia nhiều phần mềm bảo mật chuẩn đều có thể phát hiện và bảo vệ máy tính trước những biến thể mới nhất của sâu Bagle.

Còn nếu bạn không đăng ký với hãng phần mềm thì có thể truy cập vào website của McAfee để download một chương trình cứu hộ miễn phí có tên Stinger.

Cơ chế hoạt động

Sau khi xâm nhập vào máy, virus sẽ "hốt" tất cả địa chỉ email có trong Microsoft Outlook rồi sử dụng phần mềm gửi mail tự động để tự phát tán tới những nạn nhân mới. Các máy tính nạn nhân sẽ bị tắt hết các hệ thống bảo mật như tường lửa và phần mềm chống virus chuyên bảo vệ máy tính. Riêng máy tính Win XP còn bị vô hiệu hoá cả dịch vụ bảo mật trung tâm bởi biến thể Bagle.AT.

Một hãng phần mềm bảo mật khác là McAfee cho biết biến thể mới của Bagle tuy lây lan nhanh trong suốt ngày hôm qua, song có vẻ như nó "tha không phá huỷ file hoặc tàn phá phần mềm". Các phiên bản biến thể đều có thể lan truyền qua đường email lẫn file chia sẻ. Chúng tự đính kèm theo file rồi tự động gửi đến các địa chỉ email mà chúng tìm thấy trong máy tính bị nhiễm. Nếu người nhận mở ra, Bagle sẽ tạo ra một chương trình cửa sau. Nếu người khác giao tiếp với máy bị nhiễm sâu, file độc hại sẽ tự động lây lan sang máy tính của anh ta. Nguy hiểm hơn, biến thể Bagle lần này còn vô hiệu hoá được các phần mềm bảo mật.

McAfee nhận được những báo cáo đầu tiên về biến thể mới từ châu Âu. Trong khi đó, Symantec lại cho biết những lời phàn nàn đầu tiên đến từ Nhật Bản. Còn đầu ngày hôm qua, Bagle đã hạ cánh xuống đất Mỹ. Tuy nhiên, theo các chuyên gia nhiều phần mềm bảo mật chuẩn đều có thể phát hiện và bảo vệ máy tính trước những biến thể mới nhất của sâu Bagle.

Còn nếu bạn không đăng ký với hãng phần mềm thì có thể truy cập vào website của McAfee để download một chương trình cứu hộ miễn phí có tên Stinger. (Theo VietnamNet)

1. Tải phần mềm Bkav phiên bản BKAV 561 về một thư mục trên máy.

2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.

3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.

4. Chạy Bkav561, chọn quét tất cả các file, tất cả các ổ đĩa.

5. Khởi động lại máy tính.

Một số đặc điểm của virus W32.Beagle.AV

1. Tạo các bản sao của chính nó trong thư mục System của hệ thống dưới các tên sau:

wingo.exe
wingo.exeopen
wingo.exeopenopen

Cũng có thể có thêm các file sau:

wingo.exeopenopenopen
wingo.exeopenopenopenopen

2. Tạo key wingo để virus có thể tự động kích hoạt mỗi lần khởi động hệ điều hành. Key này đặt ở:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

3. Tìm và kết thúc các tiến trình của các chương trình diệt virus và firewall:

mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
bawindo.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe

4. Đóng vai trò một BackDoor, mở và đợi ở cổng 81 cho phép kẻ phá hoại có thể điều khiển máy nạn nhân.

5. Quét toàn bộ các ổ đĩa, tìm các file và các thư mục:

a, Nếu là thư mục có chứa chuỗi Shar( Thường là các thư mục chia sẻ), virus sẽ tự copy chính nó vào thư mục đó với các tên sau:

Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

b, Nếu là file, kiểm tra xem phần mở rộng của file có phải là một trong các kiểu có trong từ điển của nó để tìm các địa chỉ email có chứa trong đó. Từ điển các kiểu file của virus gồm:

.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm

5. Download file g.jpg từ các site sau:

http://www.bottombouncer.com/g.jpg
http://www.bottombouncer.com/g.jpg
http://www.anthonyflanagan.com/g.jpg
http://www.bradster.com/g.jpg
http://www.traverse.com/g.jpg
http://www.ims-i.com/g.jpg
http://www.realgps.com/g.jpg
http://www.aviation-center.de/g.jpg
http://www.gci-bln.de/g.jpg
http://www.pankration.com/g.jpg
http://www.jansenboiler.com/g.jpg
http://www.corpsite.com/g.jpg
http://www.everett.wednet.edu/g.jpg
http://www.onepositiveplace.org/g.jpg
http://www.raecoinc.com/g.jpg
http://www.wwwebad.com/g.jpg
http://www.corpsite.com/g.jpg
http://www.wwwebmaster.com/g.jpg
http://www.wwwebad.com/g.jpg
http://www.dragcar.com/g.jpg
http://www.wwwebad.com/g.jpg
http://www.oohlala-kirkland.com/g.jpg
http://www.calderwoodinn.com/g.jpg
http://www.buddyboymusic.com/g.jpg
http://www.smacgreetings.com/g.jpg
http://www.tkd2xcell.com/g.jpg
http://www.curtmarsh.com/g.jpg
http://www.dontbeaweekendparent.com/g.jpg
http://www.soloconsulting.com/g.jpg
http://www.lasermach.com/g.jpg
http://www.generationnow.net/g.jpg
http://www.flashcorp.com/g.jpg
http://www.kencorbett.com/g.jpg
http://www.FritoPie.NET/g.jpg
http://www.leonhendrix.com/g.jpg
http://www.transportation.gov.bh/g.jpg
http://www.transportation.gov.bh/g.jpg
http://www.jhaforpresident.7p.com/g.jpg
http://www.DarrkSydebaby.com/g.jpg
http://www.cntv.info/g.jpg
http://www.sugardas.lt/g.jpg
http://www.adhdtests.com/g.jpg
http://www.argontech.net/g.jpg
http://www.customloyal.com/g.jpg
http://www.ohiolimo.com/g.jpg
http://www.topko.sk/g.jpg
http://www.alupass.lu/g.jpg
http://www.sigi.lu/g.jpg
http://www.redlightpictures.com/g.jpg
http://www.irinaswelt.de/g.jpg
http://www.bueroservice-it.de/g.jpg
http://www.kranenberg.de/g.jpg
http://www.kranenberg.de/g.jpg
http://www.the-fabulous-lions.de/g.jpg
http://www.the-fabulous-lions.de/g.jpg
http://www.mongolische-renner.de/g.jpg
http://www.mongolische-renner.de/g.jpg
http://www.capri-frames.de/g.jpg
http://www.capri-frames.de/g.jpg
http://www.aimcenter.net/g.jpg
http://www.boneheadmusic.com/g.jpg
http://www.fludir.is/g.jpg
http://www.sljinc.com/g.jpg
http://www.tivogoddess.com/g.jpg
http://www.fcpages.com/g.jpg
http://www.andara.com/g.jpg
http://www.freeservers.com/g.jpg
http://www.programmierung2000.de/g.jpg
http://www.asianfestival.nl/g.jpg
http://www.aviation-center.de/g.jpg
http://www.gci-bln.de/g.jpg
http://www.mass-i.kiev.ua/g.jpg
http://www.jasnet.pl/g.jpg
http://www.atlantisteste.hpg.com.br/g.jpg
http://www.fludir.is/g.jpg
http://www.rieraquadros.com.br/g.jpg
http://www.metal.pl/g.jpg
http://www.handsforhealth.com/g.jpg
http://www.angelartsanctuary.com/g.jpg
http://www.firstnightoceancounty.org/g.jpg
http://www.chinasenfa.com/g.jpg
http://www.chinasenfa.com/g.jpg
http://www.ulpiano.org/g.jpg
http://www.gamp.pl/g.jpg
http://www.vikingpc.pl/g.jpg
http://www.woundedshepherds.com/g.jpg
http://www.cpc.adv.br/g.jpg
http://www.velocityprint.com/g.jpg
http://www.esperanzaparalafamilia.com/g.jpg
http://www.celula.com.mx/g.jpg
http://www.mexis.com/g.jpg
http://www.wecompete.com/g.jpg
http://www.vbw.info/g.jpg
http://www.gfn.org/g.jpg
http://www.aegee.org/g.jpg
http://www.deadrobot.com/g.jpg
http://www.cscliberec.cz/g.jpg
http://www.ecofotos.com.br/g.jpg
http://www.amanit.ru/g.jpg
http://www.bga-gsm.ru/g.jpg
http://www.innnewport.com/g.jpg
http://www.knicks.nl/g.jpg
http://www.srg-neuburg.de/g.jpg
http://www.mepmh.de/g.jpg
http://www.mepbisu.de/g.jpg
http://www.kradtraining.de/g.jpg
http://www.polizeimotorrad.de/g.jpg
http://www.sea.bz.it/g.jpg
http://www.uslungiarue.it/g.jpg
http://www.gcnet.ru/g.jpg
http://www.aimcenter.net/g.jpg
http://www.vandermost.de/g.jpg
http://www.vandermost.de/g.jpg
http://www.szantomierz.art.pl/g.jpg
http://www.immonaut.sk/g.jpg
http://www.eurostavba.sk/g.jpg
http://www.spadochron.pl/g.jpg
http://www.pyrlandia-boogie.pl/g.jpg
http://www.kps4parents.com/g.jpg
http://www.pipni.cz/g.jpg
http://www.selu.edu/g.jpg
http://www.travelchronic.de/g.jpg
http://www.fleigutaetscher.ch/g.jpg
http://www.irakli.org/g.jpg
http://www.oboe-online.com/g.jpg
http://www.oboe-online.com/g.jpg
http://www.pe-sh.com/g.jpg
http://www.idb-group.net/g.jpg
http://www.ceskyhosting.cz/g.jpg
http://www.ceskyhosting.cz/g.jpg
http://www.hartacorporation.com/g.jpg
http://www.glass.la/g.jpg
http://www.glass.la/g.jpg
http://www.24-7-transportation.com/g.jpg
http://www.fepese.ufsc.br/g.jpg
http://www.ellarouge.com.au/g.jpg
http://www.bbsh.org/g.jpg
http://www.boneheadmusic.com/g.jpg
http://www.sljinc.com/g.jpg
http://www.tivogoddess.com/g.jpg
http://www.fcpages.com/g.jpg
http://www.szantomierz.art.pl/g.jpg
http://www.elenalazar.com/g.jpg
http://www.ssmifc.ca/g.jpg
http://www.reliance-yachts.com/g.jpg
http://www.worest.com.ar/g.jpg
http://www.kps4parents.com/g.jpg
http://www.coolfreepages.com/g.jpg
http://www.scanex-medical.fi/g.jpg
http://www.jimvann.com/g.jpg
http://www.orari.net/g.jpg
http://www.himpsi.org/g.jpg
http://www.mtfdesign.com/g.jpg
http://www.jldr.ca/g.jpg
http://www.relocationflorida.com/g.jpg
http://www.rentalstation.com/g.jpg
http://www.approved1stmortgage.com/g.jpg
http://www.velezcourtesymanagement.com/g.jpg
http://www.sunassetholdings.com/g.jpg
http://www.compsolutionstore.com/g.jpg
http://www.uhcc.com/g.jpg
http://www.justrepublicans.com/g.jpg
http://www.pfadfinder-leobersdorf.com/g.jpg
http://www.featech.com/g.jpg
http://www.vinirforge.com/g.jpg
http://www.magicbottle.com.tw/g.jpg
http://www.giantrevenue.com/g.jpg
http://www.couponcapital.net/g.jpg
http://www.crystalrose.ca/g.jpg
http://www.crystalrose.ca/g.jpg
http://www.crystalrose.ca/g.jpg
http://www.crystalrose.ca/g.jpg

File này sẽ được lưu vào thư mục System của hệ điều hành dưới tên re_file.exe. Sau đó virus sẽ thực thi file re_file.exe này.

5. Xoá các Key khởi động của các chương trình diệt virus và firewall sau:

My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net

trong các key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

6. Thực hiện gửi thư theo các địa chỉ thư tìm được, chỉ trừ các địa chỉ có chứa các chuỗi sau:

@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@

Các bức thư sẽ có đặc điểm như sau:

Tiêu đề:

Re:
Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks :)

Nội dung:

:))

File đính kèm:

Price
price
Joke

với đuôi là .com, .cpl, .exe hoặc .scr.

Download BKAV: Download chương trình Bkav2002 (Version 561) 315kb

(Theo BKAV)