Yahoo Messenger bị chèn mã độc vào quảng cáo

Theo thông tin mới nhận được được từ Trung tâm ứng cứu sự cố máy tính khẩn cấp (VNCERT) của Bộ TT-TT, phần mềm chat Yahoo Messenger hiện đang bị chèn một đoạn mã chương trình phá hoại vào phần quảng cáo nằm bên dưới giao diện YM.

Theo thông tin ông Đỗ Ngọc Duy Trác, Trưởng phòng nghiệp vụ của VNCERT cung cấp, mục ảnh quảng cáo ở phần dưới cùng trong giao diện phần mềm chat Yahoo Messenger (YM) hiện đang bị chèn mã độc, có thể khiến máy tính của người sử dụng bị hacker tấn công và chiếm quyền điều khiển.

Thông tin đầu tiên về đoạn mã độc này do Trung tâm bảo mật CMC Information Security phát hiện và báo về Trung tâm VNCERT vào lúc 16h30p ngày hôm nay, 10/6/2008, để điều phối việc phản ứng với sự cố.

Theo phân tích ban đầu của VNCERT, trong phần chương trình load các hình ảnh quảng cáo xuất hiện ngẫu nhiên trên phần mềm YM từ máy chủ dịch vụ Yahoo Messenger tại địa chỉ insider.msg.yahoo.com đã bị chèn một đoạn mã lệnh iframe để truy cập tới tên miền w.xnibi.com và load một file index.gif về máy tính người dùng.

File index.gif khi được phần mềm YM download về thư mục temporary internet files của trình duyệt IE đã bị Bitdefender 10 phát hiện có Trojan.Downloader.JS.Agent.OX. (Ảnh chụp màn hình lúc 17h 10/6).

File ảnh index.gif này thực chất là một trang html nhúng (embed) một file flash từ địa chỉ w.xnibi.com/test.swf. Đây chính là công cụ dùng để khai thác lỗi tràn bộ đệm (buffer overflow) mới nhất của phần mềm Adobe Flash Player, với nhiệm vụ download một file mm.exe về máy tính người dùng YM và kích hoạt.

Khi chạy thành công, file mm.exe sẽ download khoảng... 20 loại virus và trojan khác nhau về máy tính người dùng YM, cho phép hacker có thể dễ dàng xâm nhập và chiếm quyền điều khiển máy tính.

Phạm vi ảnh hưởng của lỗi dính mã độc trên phầm mềm YM không chỉ ảnh hưởng tới người dùng Việt Nam mà còn ở nhiều quốc gia khác.

Hiện tại, đến thời điểm 17h30 chiều qua (10/6), VNCERT đã liên hệ tới 6 ISP trong nước và VNNIC, yêu cầu chặn (block) tên miền w.xnibi.com, đồng thời liên hệ với các trung tâm CERT khu vực và bộ phận kỹ thuật của Yahoo để tiếp tục tìm nguyên nhân, xác định mức độ phá hoại. Ngoài ra, Trung tâm phòng chống virus BKIS cũng được VNCERT yêu cầu tham gia phân tích và viết công cụ quét, diệt các virus đang phát tán trong thời gian sớm nhất.

Một số khuyến nghị người sử dụng để phòng tránh lây virus qua phần mềm YM:

- Tạm thời không nên dùng phần mềm Yahoo Messenger cài đặt trên máy. Nếu cần thiết phải giao tiếp (chat) bằng dịch vụ YM, nên chuyển sang dịch vụ web như www.meebo.com hoặc chat trực tiếp trong mail.

- Cần cập nhật phiên bản mới nhất của phần mềm Adobe Flash Player tại địa chỉ http://www.adobe.com/products/flashplayer/

- Cập nhật các phần mềm diệt virus để phát hiện được các loại virus mới nhất.

- Theo dõi các thông tin tiếp theo và sử dụng các công cụ quét, loại bỏ các virus lây lan qua lỗi YM này.