Xuất hiện loạt spybot theo dõi mạng nội bộ

Các công ty phần mềm an ninh đang cảnh báo về một nhóm sâu có tên Sdbot có khả năng cài một công cụ “đánh hơi” nhằm ăn cắp password của những người sử dụng thiếu cảnh giác.

Theo Symantec và TrenMicro, những biến thể Sdbot mới (Symantec gọi là Spybot) khai thác một số khiếm khuyết trong Windows, bao gồm lỗi RPC DCOM mà mùa hè năm ngoái đã bị sâu Blaster khai thác và khiếm khuyết LSASS bị virus Sasser lợi dụng đầu năm nay.

Giống như hai loại sâu nói trên, Sdbot phát tán mà không cần sự tương tác của người sử dụng máy tính. Thay vào đó, nó lây lan qua mạng bằng cách lợi dụng những máy chưa vá lỗi. Khi Sdbot xác định được một PC có lỗ thủng, nó tung vào đó các trình cổng hậu để cho phép kẻ tấn công kiểm soát được máy tính. Những biến thể này còn tạo ra một công cụ do thám dạng bot, sử dụng Giao diện người sử dụng mở rộng NetBios (NetBEUI) để thu thập password ở những phần mềm nhắn tin nhanh của Yahoo, AOL và Microsoft.

Tuy nhiên, điều đáng chú ý hơn ở đây là việc bổ sung thêm công cụ “đánh hơi” nói trên, với khả năng theo dõi lưu thông trên mạng nội bộ, đặc biệt là thu thập tên đăng nhập và mật khẩu. “Nếu Sdbot có thể truyền những gì nó ăn cắp được về cho tác giả, chúng sẽ gây ra những vấn đề nguy hiểm hơn các dạng chương trình quấy rối thông thường”, Patrick Nolan, chuyên gia Trung tâm an ninh Internet Storm (Mỹ), nhận xét.

Nhóm biến thể Sdbot còn có thể cài đặt một trình theo dõi hoạt động bàn phím mạnh hơn và ăn cắp mã khóa (CD key) của một số trò chơi, trong đó có Unreal Tournament 2004, Battlefield 1942 và NASCAR Racing 2003.

Trong một diễn biến khác, một trong số những biến thể của virus Mydoom được phát hiện hôm qua (Symantec gọi là Mydoom.W còn Sophos gọi là Mydoom.X) sẽ sử dụng những PC bị lây nhiễm để tiến hành tấn công từ chối dịch vụ vào website của Symantec từ ngày 29/9 cho tới 29/10. Hãng phần mềm bảo mật Mỹ đang tích cực điều tra thông tin về nguy cơ này.