Virus mạo danh các trang Web trong nước… để phát tán


Virus mạo danh các trang Web trong nước... để phát tánHôm qua, Trung tâm an ninh mạng Bách Khoa (BKIS) đã phát hiện được một số thư lợi dụng tên tuổi của BKAV, Microsoft, VnExpress, Vietnamnet, Nhacso.net, Gmail… để phát tán chương trình tấn công mới.

Sâu có tên W32.Noob.Worm ẩn sau tệp đính kèm có tên file.zip. Virus sẽ sao chép chính nó vào file %System%/reader_sl.exe, tạo khóa “Adobe Reader Speed Launch” với nội dung là “reader_sl.exe” trong HKLM/ Software/Microsoft/Windows/CurrentVersion/Run và HKLM/ Software/Microsoft/Windows/CurrentVersion/RunServices để virus được kích hoạt mỗi lần máy tính khởi động.

Nguy hiểm hơn, nếu kết nối thành công tới IRC server, virus sẽ gửi thông tin về máy tính bị nhiễm và nhận lệnh mở cổng hậu cho phép hacker điều khiển máy tính từ xa. Đồng thời, W32.Noob.Worm tìm địa chỉ e-mail trong các file có đuôi .xls, .mdb, .doc, .txt… và lưu lại trong e-mail.log.

Trung tâm BKIS đã nhanh chóng cập nhật phiên bản BKAV 795 và khẳng định: "Vì lý do an toàn, chúng tôi không bao giờ gửi file đính kèm trong e-mail tới khách hàng. Bạn nên cẩn thận và không chạy trực tiếp tệp attach trong thư, dù e-mail có vẻ được gửi từ bạn bè hay từ một tổ chức có uy tín nào đó".

Virus được phát tán qua các địa chỉ [email protected][email protected] Ngoài ra virus còn lợi dụng một số trang báo và website nổi tiếng khác là Vnn.vn, Nhacso.net, Tinhyeu.com, Microsoft và Gmail với những tiêu đề tương ứng cho từng địa chỉ.

Phát hiện virus mạo danh Bkav để phát tán

Sáng nay 15/11/2005, thông qua hệ thống giám sát email ra vào Trung tâm An ninh mạng BKIS, Đại học Bách Khoa Hà Nội, chúng tôi phát hiện được một số email mạo danh Bkav để phát tán một loại virus mới. Ngay lập tức chúng tôi tiến hành thu thập các mẫu virus và phân tích. Những phân tích ban đầu cho thấy ngoài việc mạo danh Bkav, virus này cũng mạo danh cả VnExpress, VietNam Net, Microsoft….để đánh lừa người sử dụng. Sau 2 giờ 15 phút, công việc phân tích virus hoàn thành và phương án xử lý đã được chúng tôi cập nhật vào phiên bản Bkav795.

Nếu bạn nhận được email gửi từ (From) một trong những địa chỉ sau:

với tiêu đề (Subject) tương ứng là:

    • Thong bao ve virus moi – BKAV update
    • Chuong trinh xem tin nhanh qua bao dien tu – vnexpress.net
    • Chuong trinh hoi thoai truc tuyen qua web – vnn.vn
    • Windows Update Patch
    • File receive from LaoDe
    • Giai dieu tinh yeu ngot ngao!
    • Hay noi loi yeu thuong! – Tinhyeu.com

và yêu cầu bạn thực thi file đính kèm có tên là file.zip, Bạn nên xoá ngay email này, vì file đính kèm chính là virus W32.Noob.Worm. Nếu bạn đã lỡ tay thực thi file này từ trước, bạn hãy tải Bkav phiên bản Bkav795 để diệt virus này.

Bạn cần lưu ý: Vì lý do an toàn cho khách hàng của mình, Trung tâm An ninh mạng Bkis, Đại học Bách Khoa Hà Nội không bao giờ gửi file đính kèm trong email tới khách hàng. Chúng tôi cũng khuyên các bạn phải thực sự cẩn thận, không chạy trực tiếp những file gửi kèm trong bất cứ email nào. Thậm chí email đó có vẻ là được gửi từ một người thân của bạn hay một tổ chức có uy tín nào đó.

Chi tiết những email mạo danh phát tán virus như sau:

1. Mạo danh Bkav:

Tiêu đề (Subject): Thong bao ve virus moi – BKAV update

Gửi từ (From): [email protected]

File đính kèm (Attachment): File.zip

Nội dung (Body):

Chao cac ban

He thong quet virus qua mang cua chung toi – BKAV NET phat hien may cua ban da bi nhiem virus worm32.netcodo.

Virus nay hoat dong nhu mot chuong trinh keylogger, danh cap toan bo thong tin ca nhan trong may cua ban va gui ra ngoai mang.

File dinh kem duoi dang zip la file dung de diet nhanh virus
nay, ban hay giai nen va quet qua mot lan, chuong trinh se
thong bao cho ban neu thuc su co virus worm32.netcodo trong
may.

De biet them thong tin chi tiet ve virus nay, ban co the ghe
tham: http://www.bkav.com.vn/frmView.aspx?Noidung=netcodob.htm

Trung tam An ninh mang – Dai hoc Bach khoa Ha Noi
Dia chi: Tang 5 – Nha Hitech – 1A Dai Co Viet – Ha Noi
Dien thoai: 04-8683853 Email: [email protected]

2. Mạo danh VnExpress:

Tiêu đề (Subject): Chuong trinh xem tin nhanh qua bao dien tu – vnexpress.net

Gửi từ (From): [email protected]

File đính kèm (Attachment): File.zip

Nội dung (Body):

File dinh kem trong thu duoi dang nen zip la chuong trinh cho phep cac ban doc tin nhanh tren bao dien tu VNExpress.

De su dung duoc chuong trinh, cac ban hay giai nen va cap nhan nhung thong tin moi nhat.

Xin chan thanh cam on va chuc cac ban thanh cong

Toa soan VNExpress – Co quan chu quan: Bo Khoa hoc Cong nghe

Giay phep: So 511/GP – BVHTT ngay 25/11/2002
Tong bien tap: Thang Duc Thang
Toa soan: 2B – Khu Ngoai giao doan – Van Phuc – Ba Dinh, Hanoi

3. Mạo danh VietNam Net:

Tiêu đề (Subject): Chuong trinh hoi thoai truc tuyen qua web – vnn.vn

Gửi từ (From): [email protected]

File đính kèm (Attachment): File.zip

Nội dung (Body):

Kinh chao

File dinh kem trong thu duoi dang nen zip la chuong trinh cho phep cac ban hoi thoai truc tuyen qua bao dien tu VietNamNet.
De su dung duoc chuong trinh, cac ban hay giai nen va tham gia vao muc hoi thoai truc tuyen cung voi nhung nguoi noi tieng.

Xin chan thanh cam on va chuc cac ban thanh cong.

Bao dien tu VietNamNet – Cong ty Phan mem va Truyen thong VASC. Lien lac voi Toa son

Co quan chu quan: Tong cong ty Buu Chinh Vien Thong Viet Nam- Bo Buu chinh Vien thong
So giay phep: 27/GP-BVHTT, cap ngay: 23/01/2003
Tong bien tap: Nguyen Anh Tuan – Toa soan: So 4 Lang Ha, Ha Noi

4. Mạo danh Microsoft:

Tiêu đề (Subject): Windows Update Patch

Gửi từ (From): [email protected]

File đính kèm (Attachment): File.zip

Nội dung (Body):

Dear Sir/Madam

The attach file is security update for your windows system.
This update to quickly check for and remove Mydoom.A, MydoomB,
or Doomjuice (A or B) from your PC. To help avoid infection.

Microsoft Security Team
http://update.microsoft.com/windowsupdate

5. Mạo danh NhacSo.net:

Tiêu đề (Subject): Giai dieu tinh yeu ngot ngao!

Gửi từ (From): [email protected]

File đính kèm (Attachment): File.zip

Nội dung (Body):

Chao cac ban,

Chuong trinh trong file dinh kem giup cac ban cap nhan nhung ban tin moi, cac tac pham, ca khuc moi tu web site http://nhacso.net

Chuc cac ban co duoc nhung cam xuc tuyet voi.

Xin kinh chao

6. Mạo danh Tinhyeu.com:

Tiêu đề (Subject):Hay noi loi yeu thuong! – Tinhyeu.com

Gửi từ (From):[email protected]

File đính kèm (Attachment): File.zip

Nội dung (Body):

Chao cac anh, cac chi

File dinh kem trong thu la cong cu cho phep nhan tin truc tu yen den nguoi ban yeu thuong. Ban hay mo file nen va chay de
biet them thong tin chi tiet.

http://www.tinhyeu.com
Chuc cac ban luon co nhung cam xuc dep de.

7. Gửi từ địa chỉ [email protected]:

Tiêu đề (Subject): File receive from LaoDe

Gửi từ (From): [email protected]

File đính kèm (Attachment): File.zip

Nội dung (Body):

Chao DaiCa,

File em gui dinh kem trong mail, anh mo ra xem nhe,

Em, LaoDe.

Một số đặc điểm chính của virus W32.Noob.Worm:

1. Nếu là lần đầu nó sẽ copy chính nó vào file %System%/reader_sl.exe, chạy file này và kết thúc.

2. Tạo ra key: “Adobe Reader Speed Launch” với nội dung là “reader_sl.exe” trong

HKLM/ Software/Microsoft/Windows/CurrentVersion/Run

HKLM/ Software/Microsoft/Windows/CurrentVersion/RunServices

để virus được kích hoạt mỗi lần máy tính khởi động.

3. Kiểm tra nếu máy tính có thể kết nối tới Internet thì kết nối tới irc server (cổng 80) phoenixclan.hmspirit.info. Khi kết nối thành công đến các irc server này worm sẽ gửi thông tin về máy bị nhiễm và nhận lệnh điều khiển từ xa. Khi nhận được lệnh thích hợp nó sẽ mở ra một cổng hậu cho phép hacker điều khiển máy bị nhiễm từ xa.

4. Tìm địa chỉ email trong file có tên trong key HKCU/Software/Microsoft/WAB/WAB4/Wab File Name và các file có đuôi là *.xls, *.mdb, *.doc, *.txt, *.log trong tất cả các ổ đĩa. Các địa chỉ email tìm được được lưu trong file email.log.

Chuyên viên phân tích: Vũ Ngọc Sơn, Đào Văn Huy, Lê Minh Hưng

Nguồn: Internet

Có thể bạn quan tâm

Để lại một trả lời

Địa chỉ email của bạn sẽ không được công bố.