McAfee, Inc.vừa lên tiếng cảnh báo về biến thể virus W32/Mydoom.s@MM, còn gọi là Mydoom.s đang phát tán mạnh qua e-mail. Tại Việt Nam, virus Mydoom.s đã xuất hiện và bắt đầu lây lan mạnh trong các mạng doanh nghiệp vào chiều nay (16/8).
Biến thể Mydoom mới này là một loại virus phát tán qua e-mail, được giấu trong một file đính kèm dạng .EXE có tên “photos_arc.exe”. Hiện tại, McAfee đã nhận được khoảng 100 thông báo khác nhau về virus này chỉ trong vòng 3 giờ kể từ lúc nó xuất hiện, với hầu hết các thông báo được gửi tới từ châu Âu và Nhật Bản.
Nguy cơ từ Mydoom.s
Mydoom.s có chứa cơ chế phát tán qua giao thức SMTP để thực hiện quá trình phát tán tới các địa chỉ khác. Tương tự như các biến thể khác, Mydoom.s cướp địa chỉ e-mail của máy tính nạn nhân, sau đó gặt hái các địa chỉ từ Address Book trên máy tính để tiếp tục "bắn phá" bằng các phiên bản sao y của nó. Mydoom.s tạo ra một email với địa chỉ người gửi giả mạo từ account có trên máy tính đã bị nhiễm, nên những người nhận được email kế tiếp rất dễ lầm tưởng là thư của người quen và mở ra.
File đính kèm là một file .EXE có tên photos_arc.exe, khá khác biệt với các phiên bản Mydoom khác vì thông thường chúng dùng rất nhiều đuôi file khác nhau. Người dùng nên cẩn trọng trước mọi email có tiêu đề photos và xoá ngay khi thấy xuất hiện.
Một số nhận dạng ban đầu của Mydoom.s:
- Địa chỉ người gửi From: (giả mạo địa chỉ e-mail của người quen, có thể là cùng trong công ty).
- Tiêu đề: photos
- Nội dung: LOL!;))))
Phân tích cơ chế phá hoại
Sau khi người dùng bị lừa và mở file đính kèm photos_arc.exe, Mydoom.s sẽ tự sao chép nó vào thư mục WINDOWS (%WinDir%) dưới dạng file rasor38a.dll và vào thư mục SYSTEM (%SysDir%) dưới tên winpsd.exe, để thực hiện hoạt động lây nhiễm kế tiếp. Các khoá Registry sau đã được Mydoom.s thêm vào để hệ thống kích hoạt nó mỗi khi khởi động:
• KEY_CURRENT_USER\Software \Microsoft\Windows \CurrentVersion\ Explorer\ComDlg32
• HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\ Explorer\ComDlg32
• HKEY_LOCAL_ MACHINE\SOFTWARE\ Microsoft\Windows\ Current Version\ Run "winpsd" = C:\WINDOWS\ System32\winpsd.exe
Virus này sau đó thực hiện thành phần truy cập từ xa trong nó, với nhiệm vụ lắng nghe các kết nối từ xa. Ngoài ra, nó còn download một Trojan backdoor vào máy của nạn nhân để hỗ trợ các hoạt động xâm nhập khác sau đó.
Khắc phục và bảo vệ hệ thống
Các thông tin chi tiết hơn về Mydoom.s có thể tìm thấy tại McAfee AVERT tại địa chỉ http://vil.nai.com/vil/content/v_127616.htm. McAfee AVERT đang khuyến nghị khách hàng để nâng cấp các file diệt virus 4386 DAT để ngăn chặn Mydoom.s.
Hiện tại, McAfee chỉ đánh giá mức độ nguy hiểm của Mydoom.s ở mức độ trung bình, (Medium). Tuy nhiên, phần mềm Norton AntiVirus nổi tiếng chưa phát hiện được Mydoom.s vào thời điểm virus này phát tán.
Theo tìm hiểu sơ bộ của VietNamNet, virus Mydoom.s có thể lây nhiễm ngay khi email chứa nó được hiển thị trong ô Preview Pane của Outlook Express, hoặc Microsoft Outlook.
Do đó, người dùng nên tắt ô hiển thị xem trước Preview Pane bằng cách vào View/Layout trong Outlook, sau đó bỏ tuỳ chọn Show Preview Pane đi để ngăn chặn Mydoom.s kích hoạt. Khi thấy trong Inbox, có các thư có tiêu đề photos cần xoá ngay, và liên tục cập nhật các phiên bản chương trình diệt virus mới.
BKAV 533 cập nhật virus W32.MyDoom.S
Vào 15 giờ 42 phút 16/8/2004 Trung tâm An Ninh Mạng Bkis nhận được một lượng lớn các email có tiêu đề photos và file đính kèm photos_arc.exe. Trong vòng mỗi phút chúng tôi nhận từ 17 đến 20 email như vậy. Cùng thời điểm, có hai cuộc điện thoại "cấp cứu" từ hai doanh nghiệp ở Hà Nội và Đồng Nai vì hệ thống bị quá tải bởi các email có đặc điểm tương tự. Ngay lập tức chúng tôi đã tiến hành nghiên cứu và phân tích các mẫu virus nhận được. Sau 2 giờ 15 phút, việc phân tích sơ bộ được hoàn thành và phương án xử lý virus W32.MyDoom.S đã được cập nhật vào phiên bản Bkav533.
Trong chiều ngày hôm nay, những đồng nghiệp của chúng tôi trong Hiệp hội Cứu hộ các sự cố máy tính khẩn cấp khu vực Châu Á Thái Bình Dương - APCERT thông báo virus W32.MyDoom.S cũng đang lây lan tấn công các máy tính các nước trong khu vực.
Để diệt virus W32.MyDoom.S bạn cần thực hiện theo các bước sau:
1. Tải phần mềm Bkav phiên bản Bkav533 về một thư mục trên máy.
2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.
3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.
4. Chạy Bkav533, chọn quét tất cả các file, tất cả các ổ đĩa.
5. Khởi động lại máy tính.
Một số đặc điểm của virus W32.MyDoom.S
1. Tạo mutex có tên “43jfds93872" để tránh thi hành nhiều thể hiện của virus tại cùng một thời điểm.
2. Copy chính nó vào thư mục Windows dưới dạng một file thư viện có tên rasor38a.dll
3. Kiểm tra ngày giờ của hệ thống, nếu đến ngày 20/08/2004 thì virus không thực hiện việc lây lan nữa.
4. Kiểm tra xem máy tính đã kết nối Internet chưa, chu kỳ thực hiện việc kiểm tra là 18 giây, nếu máy đã kết nối Internet rồi thì virus thực hiện download các file:
ispy.1.jpg
coco3.jpg
temp578.gif
temp728.gif
từ các site sau:
http://www.richcolour.com
http://zenandjuice.com
5. Tạo giá trị có tên là "winpsd" và dữ liệu là "%System%\winpsd.exe" trong key :
HKEY_LOCAL_ MACHINE \SOFTWARE \Microsoft \Windows\Current Version\Run
để virus được thi hành mỗi khi người dùng khởi động Windows.
6. Tìm kiếm địa chỉ thư trong các file có phần mở rộng sau :
.htmb
.shtl
.phpq
.aspd
.dbxn
.tbbg
.adbh
.pl
.wab
trong các ổ từ C tới Z.
8. Tạo và gửi các thư với đặc điểm sau :
Tiêu đề : photos
File đính kèm: photos_arc.exe.
Nội dung: LOL!;))))
Gửi từ:
john
alex
michael
james
mike
kevin
david
george
sam
andrew
jose
len
maria
jim
brian
serg
mary
ray
tom
peter
robert
bob
jane
joe
dan
dave
matt
steve
smith
stan
bill
bob
jack
fred
ted
adam
brent
alice
anna
brenda
claudia
debby
helen
jerry
jimmy
julie
linda
sandra
9. Liệt kê các entry trong HCU\Software\Microsoft \Internet Account Manager \Accounts
để lấy SMTP Server