Kaspersky Lab vừa phát hiện một loại sâu mang tên IM-Worm.Win32.Zeroll với 4 biến thể có khả năng lây lan trong mọi chương trình gửi tin nhắn tức thời (IM) như Yahoo Messenger, Skype hay Windows Live Messenger.
Ảnh minh họa: Internet
Cơ chế hoạt động của họ virus này tương tự như nhiều loại khác đã từng xuất hiện và làm náo loạn cộng đồng mạng ở Việt Nam trước đây. Khi một máy tính bị nhiễm virus này, nó sẽ tự động nhân bản chính mình đến tất cả bạn chat khác trong danh sách của nạn nhân. “Mồi nhử” gửi đến các nạn nhân khác là một đường liên kết có vẻ như dẫn đến một bức ảnh rất hấp dẫn nhưng thực ra lại là một tập tin chứa mã độc. Người dùng tò mò nhấn vào đường liên kết này sẽ bị nhiễm virus trên. Cứ thế virus lây lan nhanh chóng trên mạng.
Điều giúp loại sâu này có khả năng lây lan nhanh chóng là vì chúng có thể xuất hiện theo nhiều ngôn ngữ khác nhau (13 ngôn ngữ) và lây nhiễm qua những chương trình chat phổ biến: Yahoo! Messenger, Skype, Paltalk Messenger, ICQ, Windows Live Messenger, Google Talk…
Sâu IM-Worm.Win32.Zeroll có khả năng “mở cửa sau” (backdoor), tức là sau khi nhiễm vào máy tính nạn nhân, nó sẽ tự động liên lạc đến trung tâm điều khiển từ xa của hacker để nhận lệnh thực hiện các hành động. Nó có thể tự động tải thêm nhiều chương trình mã độc khác về máy tính mà nạn nhân vẫn không hay biết. Hacker có thể biến các máy tính bị nhiễm virus này thành mạng máy tính tấn công hàng loạt để chúng thực hiện các hành động tấn công hay spam. Hiện các sản phẩm của Kaspersky Lab đã cập nhật và có thể vô hiệu hóa sâu IM-Worm.Win32.Zeroll.
Tháng 8: hàng loạt lỗ hổng Windows bị khai thác
Theo báo cáo tình hình mã độc tháng 8-2010 của Kaspersky Lab cho thấy các lỗ hổng bảo mật của hệ điều hành Windows đang là mục tiêu số một của tấn công exploit và sâu.
Tháng 8 chứng kiến sự phát triển mạnh của mã độc nhắm vào lỗ hổng mang tên CVE-2010-2568. Lỗ hổng này bị khai thác lần đầu bởi sâu Worm.Win32.Stuxnet, vốn được biết nhiều đến với cái tên virus “shortcut”. Tiếp sau đó là Virus.Win32.Sality.ag, một chương trình Trojan-Dropper dùng để cài đặt biến thể mới nhất của virus Sality.
Lỗ hổng CVE-2010-2568 xảy ra trong các tập tin shortcut có đuôi LNK và PIF cho phép các sâu có thể lây lan thông qua các thiết bị USB bị lây nhiễm.
Ba chương trình liên quan trực tiếp đến lỗ hổng CVE-2010-2568 đều xuất hiện trong bảng xếp hạng các mã độc thường xuyên bị ngăn chặn trong các máy tính cá nhân. Hai trong số đó là tấn công exploit với Exploit.Win32.CVE-2010-2568.d (đứng vị trí thứ 9) và Exploit.Win32.CVE-2010-2568.b (vị trí thứ 12) nhắm trực tiếp vào các lỗ hổng bảo mật.
Chương trình còn lại là Trojan-Dropper.Win32.Sality.r (vị trí thứ 17) sử dụng lỗ hổng cho các mục đích lan truyền. Nó tạo ra các tập tin shortcut LNK dễ bị tấn công với những cái tên thu hút sự chú ý và trải rộng qua các mạng nội bộ. Mã độc sẽ được kích hoạt khi người dùng mở thư mục có chứa một trong những shortcut này.