Một làn sóng khổng lồ của biến thể sâu Storm Worm đang gây ngập lụt hòm thư của người dùng Internet trên toàn thế giới trong sự bất lực, không hay biết của nhiều ứng dụng bảo mật.
Trong số 31 chương trình diệt virus được kiểm tra, chỉ có duy nhất 4 chương trình nhận dạng được con virus này.
Hãng bảo mật Postini cho biết chỉ trong vòng 24 giờ gần đây, họ đã ghi nhận được khoảng 55 triệu email có chứa virus, tức là cao gấp... 60 lần so với mức trung bình một ngày hồi trước.
Những đợt email đầu tiên có tiêu đề lãng mạn như "Một nụ hôn thật dịu dàng" hay "Anh mơ về em", nhưng đến đợt sau thì hacker cố gắng đánh lừa người dùng bằng những tiêu đề mang tính chất cảnh báo như "Báo động Sâu mới!", "Báo động Virus mới!". Nhiều nạn nhân tưởng rằng họ đã bị nhiễm sâu và cần phải chạy file đính kèm trong email để vá lại lỗ hổng mà không hề hay biết miếng vá đó mới chính là virus.
Đánh lừa ứng dụng bảo mật
Vào lúc 2h30 chiều qua (giờ bên Mỹ), một phóng viên của PC World đã upload file đính kèm nói trên lên Virustotal.com, một website sử dụng rất nhiều chương trình diệt virus khác nhau để scan các file tải lên. Trong số 31 ứng dụng được kiểm tra, chỉ có 4 - ClamAV, eSafe, Kaspersky và Symantec - thông báo đây là virus.
Nguồn: Infotech |
Đầu tiên, một chương trình rootkit sẽ cố gắng ngụy trang, che đậy cho malware thoát khỏi vòng quét của cả con người lẫn phần mềm antivirus. Sau đó, Storm Worm sẽ cố gắng vô hiệu hóa các ứng dụng diệt virus. Tiếp nữa, nó sẽ kết nối với một mạng P2P được hacker chỉ định sẵn. Thông qua mạng P2P này, sâu Storm Worm sẽ nhận được các câu lệnh và chỉ thị như tải thêm malware về máy, gửi thư rác hoặc đánh cắp dữ liệu cá nhân...
Cuối cùng, để có thể phát tán rộng hơn, Storm Worm sẽ tìm kiếm địa chỉ email bên trong máy tính nạn nhân và tự gửi mail tới tất cả các địa chỉ này. Nó biết cách tự động thay đổi dòng tiêu đề, tên file đính kèm và các đặc điểm nhận dạng để đánh lừa, qua mặt các ứng dụng bảo mật.
Một cơn bão lốc
Đúng như cái tên của nó, Storm Worm đã gây giông bão, hoành hành trong cộng đồng Internet thế giới suốt từ đầu năm đến nay.
Được phát hiện lần đầu tiên hồi tháng 1 vừa qua, Storm Worm được đặt tên theo một dòng tiêu đề phổ biến nhất của nó là "230 người chết sau khi bão càn quét châu Âu".
Storm Worm đã tự tạo ra một cơn bão ảo của chính mình với 42.000 biến thể khác nhau chỉ trong vòng 12 ngày sau đó. Số lượng biến thể khổng lồ này được cho là để đánh lừa các công cụ phát hiện virus truyền thống, hoạt động trên cơ chế so sánh đối chiếu từng biến thể với cơ sở dữ liệu hiện có, từ đó kết luận đấy là virus hay không.
Để đảm bảo an toàn cho chính mình trước đợt sâu bùng nổ này, người dùng phải học cách thận trọng tối đa trước mọi file đính kèm trong email, kể cả khi chúng được gửi đi từ một người mà bạn quen biết. Hơn nữa, hãy đảm bảo rằng phần mềm diệt virus của bạn được cập nhật nhất.
Tuy hầu hết các ứng dụng diệt virus hiện nay đều bỏ sót một vài biến thể, song hãng bảo mật sẽ nhanh chóng cập nhật cơ sở dữ liệu của họ ngay khi được cảnh báo.
Trọng Cầm