Storm lợi dụng quốc khánh Mỹ để phát tán

Đúng như dự báo của các hãng bảo mật con sâu máy tính cực kỳ nguy hiểm Storm đã quay trở lại đúng vào ngày 4/7 - ngày quốc khánh Mỹ - bằng một chiến dịch tấn công thư rác với quy mô lớn.

Hãng bảo mật Sophos Inc cho biết các bức thư rác được phát tán trong chiến dịch tấn công lần này mang một số tựa đề như "Amazing firework 2008" (Pháo hoa ấn tượng 2008), "Celebrating Fourth of July" (Chúc mừng ngày quốc khánh), "Light up the sky" (Thắp sáng bầu trời) hoặc "Spectacular fireworks show" (Màn hình diễn pháo hoa ngoạn mục).

Trong các bức thư rác này đều chứa đường liên kết đến một website độc hại của tin tặc. Khi truy cập vào website này người dùng sẽ được đề nghị tải về một tệp tin video "quay toàn cảnh những lễ kỷ niệm ngày quốc khánh trên toàn quốc và lễ hội bắn pháo hoa lớn nhất được tổ chức ngay trước ngày quốc khánh. Nếu bạn muốn chứng kiến màn pháo hoa này thì xin hãy nhắp chuột tải về và mở tệp tin video dưới đây".

Tệp tin này được đặt tên là "fireworks.exe". Nếu người dùng chấp nhận tải tệp tin này về thì cái mà họ nhận được không phải là cảnh lễ hội bắn pháo hoa mà chính là con sâu máy tính nguy hiểm Storm. Mục đích chính của con sâu này là "bắt cóc" PC của người dùng và bổ sung nó vào danh sách nhưng PC bị bắt cóc của tin tặc góp phần xây dựng nên mạng Storm Botnet.

Đây chính là hệ thống mạng thường xuyên được tin tặc lợi dụng để tổ chức các đợt tấn công thư rác phát tán Storm hoặc các dạng mã độc khác cũng như tổ chức tấn công lừa đảo trực tuyến, tấn công website ...

Không chỉ có Sophos mà các hãng bảo mật khác như F-Secure, SANS Internet Storm Center và Trend Micro đều cảnh báo người dùng về "sự trở lại của Storm".

Storm vốn nổi tiếng về việc lợi dụng các sự kiện được nhiều người quan tâm để phát tán. Liên tục kể từ khi được phát hiện cho đến nay không có sự kiện nào qua được mắt của Storm, từ ngày lễ Giáng sinh, mừng năm mới ... cho đến cả Olympic Bắc Kinh 2008.

Đôi nét về Storm Worm

Storm Worm là cái tên được Hãng bảo mật F-Secure đạt cho dòng phần mềm độc hại này. Nó được phát hiện lần đầu tiên vào ngày 17/1/2007. Ngoài ra Storm Worm còn có những cái tên khác như sau Trojan.Peacomm (Symantec), Trojan.Peed hoặc Trojan.Tibs (BitDefender), Troj/Dorf hoặc Mal/Dorf (Sophos), W32/Nuwar@MM hoặc Downloader-BAI (McAfee) ...

Sở dĩ nó được biết đến bằng cái tên Storm Worm bởi ngày thứ sáu 19/1/2007 nó đã thành công lây nhiễm lên hàng nghìn PC ở Mỹ và Châu Âu thông qua một chiến dịch tấn công thư rác với tựa đề "230 dead as storm batters Europe" (230 người chết trong một con bão ở Châu Âu).

Chỉ trong thời điểm cuối tuần đó đã liên tiếp có tới 6 đợt tấn công liên tiếp của Storm Worm diễn ra. Tính đến ngày 22/1/2007, Storm Worm đã chiếm tới 8% tổng số PC bị nhiễm mã độc trên toàn cầu.

Thực chất Storm Worm là một loại Backdoor Trojan chuyên tấn công hệ điều hành Windows. Một khi đã lây nhiễm lên PC nó sẽ mở một cổng sau (backdoor) để kết nối và nhận lệnh điều khiển của tin tặc từ xa hoặc tải thêm nhiều mã độc hơn về máy tính bị lây nhiễm.

Ngoài ra hãng bảo mật Symantec cho biết Storm Worm còn tiến hành cài đặt lên PC bị lây nhiễm môt rootkit nguy hiểm giúp nó che giấu bản thân tránh sự phát hiện của các phần mềm bảo mật.

Tất cả các PC bị nhiễm Storm Worm đều sẽ được gộp chung vào một hệ thống mạng Botnet. Không giống như các mạng botnet khác đều được điều khiển từ một máy chủ trung tâm. Storm Worm kết nối và điều khiển các PC thông qua kết nối ngang hàng khiến mạng botnet này rất khó bị phát hiện và tiêu diệt tận gốc dễ. Ước tính hệ thống mạng này hiện này có số lượng PC lên tới con số hàng triệu.