Phiên bản Sober mới nhất đang lây lan cực nhanh

Các công ty bảo mật vừa cảnh báo về một phiên bản mới của sâu Sober vừa xuất hiện vào sáng 21-2. Sober là loại virus lây nhiễm hàng loại thông qua e-mail, phiên bản Sober mới này có tốc độ lây nhiễm cực nhan nhanh và đã tấn công vào hàng loạt máy tính ở Mỹ và châu Âu.

Công ty bảo mật MessageLabs của Anh đã phát hiện ra con W32.Sober-K-mm vào lúc 5h01’ giờ GMT. MessageLabs đã tìm ra 663 trường hợp lây nhiễm Sober trong 1 tiếng đồng hồ đầu tiên sau khi xuất hiện, đến sau 11h giờ GMT đã có đến 2.200 trường hợp bị lây nhiễm.

Maksym Schipka, chuyên gia bảo mật cao cấp của MessageLabs cho biết rằng mức độ lây nhiễm như vậy là khá nghiêm trọng, biến thể Sober mới này tỏ ra linh hoạt hơn nhiều so với các phiên bản trước đó.

Phiên bản Sober mới nhất này xuất phát đầu tiên ở Đức, đến giữa buổi sáng đã xuất hiện tại Pháp, Anh và cuối cùng tại Mỹ. Con W32.Sober-K-mm dường như được do chính một hacker tạo nên, phiên bản Sober đầu tiên xuất hiện vào tháng 10-2003 và cũng có nguồn gốc ở Đức.

Maksym Schipka cho biết: ”Tôi không biết rõ liệu mã nguồn của con sâu này được tán phát trên Internet hay chưa. Nó được viết bằng ngôn ngữ Visual Basic, đây là một việc khá khó so với việc sử dụng C++ hoặc Assembler, vì vậy mà tôi nghĩ rằng virus này là do chính 1 tác giả tạo nên”.

Con W32.Sober-K-mm tự tán phát chính nó thông qua các file đính kèm theo thư điện tử, nó có khả năng tạo ra được các dòng tiêu đề cũng như nội dung e-mail một cách ngẫu nhiên bằng tiếng Anh hoặc tiếng Đức, tùy theo địa chỉ e-mail mà nó thu thập được. Các dòng tiêu đề thường có nội dung như “Alert! New Sober worm”, “Paris Hilton Sex Videos”, “You visit illegal websites”, “Your new Password” …

Con sâu này có nhiều cách tạo thông điệp hấp dẫn để dụ dỗ người dùng mở file đính kèm ở dạng .zip ra xem. Một số e-mail mạo danh các công ty bảo mật có nội dung yêu cầu người dùng cập nhật chương trình chống lại phiên bản mới nhất của … chính Sober, một số khác “gan” hơn mạo danh các thông báo an ninh của FBI.

Khi người dùng mở ra file đính kèm ra xem thì con Sober mới này sẽ tạo ra nhiều loại file hành động có tên như csrss.exe, winlogon.exe và smss.exe và lập tức nhảy vào dòng registry SoftwareMicrosoftWindowsCurrentVersionRun để các file này được kích hoạt ngay khi khởi động máy.

Con sâu này cũng phản ánh về chính bản thân mình trong 1 tập tin văn bản do chính nó tạo ra, các chuyên gia bảo mật cũng không hiểu được tạo sao lại xuất hiện file văn bản “tự khai” này, đây có lẽ là một “lỗi bảo mật” của chính con Sober.