Virus mới đang lây lan nhanh chóng qua hệ thống Yahoo!

Theo ông Nguyễn Tử Quảng, Giám đốc Trung tâm An ninh mạng Bkis, từ đầu giờ chiều ngày 10/4/2006, hàng loạt người sử dụng mạng Internet Việt Nam đã gọi điện, email tới Trung tâm Bkis để đề nghị trợ giúp xử lý một loại virus mới đang lây lan nhanh chóng qua hệ thống Yahoo! Messenger.

Trung tâm đã hoàn tất việc phân tích và đưa ra phương án xử lý virus này. Không giống như một số báo đã đưa tin virus này là BOTNET và nguyên lí lây lan dựa vào lỗi của Yahoo! Messenger. Theo phân tích của Bkis, nó chỉ có thể được sử dụng để tải BOTNET xuống chứ bản thân nó không phải là BOTNET. Nguyên lí lây lan của nó chỉ dựa vào sơ hở của người sử dụng chứ không phải là lỗi của Yahoo! Messenger.

Uớc tính đã có khoảng 20.000 máy tính ở Việt Nam đã trở thành nạn nhân.

Trung tâm Bkis đã cập nhật phương án xử lý cả 2 phiên bản của virus này vào Bkav845 cập nhật lúc 22 giờ 30 ngày 10/4/2006. Để diệt virus này xin các bạn lưu ý:

- Đối với khách hàng dùng bản BkavPro: phiên bản mới nhất sẽ tự động cập nhật khi bạn bật máy, sau đó bạn chỉ cần quét tất cả các file, tất cả các ổ đĩa.

- Đối với các khách hàng dùng bản Bkav Home, bạn cần tải về phần mềm Bkav Home phiên bản mới nhất. Sau đó chạy Bkav, chọn quét tất cả các file, tất cả các ổ đĩa.

Nếu chưa cài đặt Bkav phiên bản mới, bạn nên tuyệt đối tránh không bấm vào các đường dẫn (link) có dạng như sau:

"Xem thu coi, buon cuoi ko the chiu duoc http://67.....2/~neun/?file=sac"

"Em nay xinh lam, nhin ma fe http:// 67.....2/~neun/?file=xgirl"

"Cai gi the nay, Choang http:// 67.....2/~neun/?file=wow"

"Xem thu cai nay di http:// 67.....2/~neun/?file=funfun"

"Hi hi hi http:// 67.....2/~neun/?file=haha"

"Xem thu coi, buon cuoi ko the chiu duoc http://xrobots.../Gift/?file=Embe.jpg"

“Em nay xinh lam, nhin ma fe http://xrobots.../Gift/?file=Gaixinh.jpg"

"Film vui , flim vui : http://xrobots.../Gift/?file=Funny.swf"

"Xem thu cai nay di http://xrobots.../Gift/?file=Anhdep.jpg"

"Tang cho ban nay : http://xrobots...t/Gift/?file=e-card.htm"

Nguyên lí hoạt động của virus

Khi lây nhiễm vào một máy tính, virus sẽ tải file Http://xrobots.net/Gift/Robots.exe từ trên mạng Internet về và ghi thành file Messenger.exe trong thư mục Windows. Ghi tham số HKLMSoftwareMicrosoftWindowsCurrentVersionRunYahoo!!! để nạp virus tự động vào bộ nhớ khi khởi động máy. Tải file Http://xrobots.net/Gift/Version.txt từ mạng Internet (phiên bản GaixinhYMA tải file http://www.xrobots.net/download/xrobots.ini). Kiểm tra xem có phiên bản virus mới trên mạng hay không thông qua nội dung của file vừa tải về. Nếu có phiên bản mới, thì tải về và nâng cấp phiên bản hiện tại. Như vậy, về nguyên tắc kẻ phát tán virus có thể cài đặt tùy ý các phần mềm lên máy của nạn nhân.

Đặt Start Page trỏ tới địa chỉ http://67.15.40.2/~tr..../forumtp (mỗi khi bật trình duyệt IE địa chỉ này sẽ được mở tự động). Đây là diễn đàn của cựu học sinh một trường chuyên của thành phố Hải Phòng. Kẻ phát tán virus cũng được xác minh là thành viên của diễn đàn này.

Ngoài ra, virus còn thiết lập một số tham số khác của Yahoo! Messenger và khóa (Disable) không cho người sử dụng truy cập vào Regedit (một công cụ để thiết lập tham số hoạt động cho hệ điều hành windows và các phần mềm ứng dụng).

Tìm các cửa sổ Yahoo! Messenger mà nạn nhân đang dùng để hội thoại với người khác, sau đó tự động gửi (send) một cách ngẫu nhiên một trong những nội dung dưới đây sang những người này:

Với phiên bản GaixinhYMA:

"Xem thu coi, buon cuoi ko the chiu duoc http://67.....2/~neun/?file=sac"

"Em nay xinh lam, nhin ma fe http:// 67.....2/~neun/?file=xgirl"

"Cai gi the nay, Choang http:// 67.....2/~neun/?file=wow"

"Xem thu cai nay di http:// 67.....2/~neun/?file=funfun"

"Hi hi hi http:// 67.....2/~neun/?file=haha"

Với phiên bản GaixinhYMB:

"Xem thu coi, buon cuoi ko the chiu duoc http://xrobots.../Gift/?file=Embe.jpg"

“Em nay xinh lam, nhin ma fe http://xrobots.../Gift/?file=Gaixinh.jpg"

"Film vui , flim vui : http://xrobots.../Gift/?file=Funny.swf"

"Xem thu cai nay di http://xrobots.../Gift/?file=Anhdep.jpg"

"Tang cho ban nay : http://xrobots...t/Gift/?file=e-card.htm"

Nếu là phiên bản GaixinhYMA, sau mỗi lần gửi, virus “tạm nghỉ” một quãng thời gian ngẫu nhiên trong khoảng 300 đến 900 giây. Rồi lặp lại 1000 lần thao tác lây nhiễm nói trên. Điều đó cho thấy gần như bất kì ai trao đổi (chat) với nạn nhân cũng đều trở thành “con mồi” tiếp theo của virus.

Nếu là phiên bản GaixinhYMB (được phát tán vào cuối giờ buổi chiều ngày 10/4/2006), ngoài cách phát tán như phiên bản A, phiên bản này được cải tiến để lây lan “kinh khủng” hơn. Không những chỉ tìm cách lây sang những máy tính mà chủ của nó đang trực tiếp chát với nạn nhân, phiên bản B còn tìm cách gửi virus tới cả những người trong sổ địa chỉ Yahoo! Messenger (bao gồm cả những người đang trực tuyến – online và không trực tuyến – offline).

Theo những thông tin mới nhất, Trung tâm An ninh mạng BKIS cũng đã có đủ bằng chứng và đã trực tiếp liên lạc với người bị tình nghi nêu trong thông tin sáng nay. Người này đã chính thức công nhận mình tạo và phát tán virus GaiXinhYMA và GaiXinhYMB.

Nhân vật này là 1 sinh viên Đại học 21 tuổi (SN 1985) tại 1 trường Đại học lớn tại Hà Nội. Cậu ta cũng đã thừa nhận mình không lường được hậu quả gây ra như vậy và đã viết một bức thư xin lỗi gửi đến các cơ quan thông tấn báo chí.

Trung tâm an ninh mạng cũng nhận định cậu sinh viên này chưa có chủ tâm phá hoại, tuy nhiên hậu quả cậu ta gây ra đã gây ảnh hưởng tới xã hội, và có nguy cơ ảnh hưởng sâu sắc nếu không có những biện pháp xử lý răn đe.

Cũng theo ông Quảng, hiện Bkis cũng đã trao đổi với cơ quan an ninh để tiếp tục xử lý vụ việc.

L.Quang

Việt Báo (Theo_VnMedia)