Sự trở lại của các virus lây file

15:34 | 04/07/2007 | HACKER / MALWARE
Theo nhận định của Trung tâm an ninh mạng Bkis, có 252.000 máy tính đã bị nhiễm các loại virus lây file trong tháng 4/2007, tăng 20% so với tháng 3. Đặc biệt, sau một năm vắng bóng, các virus lây file đã xuất hiện trở lại với số lượng và tốc độ lây lan nhanh hơn.


Theo nhận định của Trung tâm an ninh mạng Bkis, có 252.000 máy tính đã bị nhiễm các loại virus lây file trong tháng 4/2007, tăng 20% so với tháng 3. Đặc biệt, sau một năm vắng bóng, các virus lây file đã xuất hiện trở lại với số lượng và tốc độ lây lan nhanh hơn. Chúng "bám" theo các sâu Internet (worm), lợi dụng tốc độ phát tán của các sâu này để truyền từ máy này sang máy khác, công việc mà trước đây những virus lây file thông thường phải mất hàng tuần, hàng tháng để làm.
CatchYM, loại virus lây qua cả Yahoo!Messenger và USB - hai con đường lây lan virus nhiều nhất tại Việt Nam, đã lây nhiễm trên một số lượng máy tính khá lớn: 108.000 máy.
Hacker có thể kiểm soát được Modem của các thuê bao ADSL
Tháng 5/2007, trong số gần 10.000 thuê bao của 3 nhà cung cấp dịch vụ ADSL lớn nhất Việt Nam mà Bkis khảo sát cho thấy, hơn 14% (1.400) số thuê bao nằm trong tình trạng nguy hiểm, có thể dễ dàng bị kẻ xấu kiểm soát hệ thống. Lổ hổng nằm ở chỗ các thuê bao này vẫn sử dụng tài khoản quản trị Modem theo mặc định của nhà sản xuất - thông số được công bố rộng rãi mà ai cũng có thể biết. Một phần nguyên nhân do các nhà cung cấp dịch vụ ADSL không khuyến cáo khách hàng đổi các thông số mặc định của Modem khi đưa vào sử dụng.
Nếu chiếm được quyền điều khiển Modem, hacker có thể thực hiện các hành vi phá hoại như:
* Tấn công các máy tính bên trong hệ thống mạng: Sau khi kiểm soát Modem, thiết lập lại cấu hình, hacker có thể quét ra được những thư mục chia sẻ trên máy tính (MT) của nạn nhân, lấy cắp dữ liệu, cài virus, chiếm quyền kiểm soát MT.
* Lừa để thu thập thông tin cá nhân: Một trong những tính năng của Modem là cung cấp địa chỉ máy chủ DNS (máy chủ quản lý tên miền) cho các MT trong mạng. Bằng cách thay đổi thông tin này, hacker có thể chuyển hướng truy cập Internet của nạn nhân đến các website giả mạo, nhằm lừa họ nhập thông tin cá nhân quan trọng như mã thẻ tín dụng, tài khoản email...
Do đó, Bkis khuyến cáo người sử dụng cần kiểm tra và thay đổi mật khẩu quản trị Modem và nếu không sử dụng đến thì hãy tắt tính năng cho phép truy cập vào Modem từ bên ngoài Internet. Để thực hiện việc này, cần đọc tài liệu hướng dẫn của nhà sản xuất liên hệ với nhà cung cấp dịch vụ ADSL để nhận được sự trợ giúp hoặc tham khảo hướng dẫn đặt lại mật khẩu quản trị hay thiết lập lại thông số cho Modem tại www.bkav.com.vn. Người sử dụng cần thay đổi các thông tin mặc định của nhà sản xuất Modem ngay sau khi lắp đặt và đưa hệ thống vào sử dụng.
Trong số 3.370.000 máy tính bị nhiễm mã độc hại trong tháng 5/2007, có tới 424.000 máy bị nhiễm spyware và adware. Đây là một con số không nhỏ bởi spyware, adware là loại mã độc hại không tự lây nhiễm từ máy này sang máy khác. Điều đó có nghĩa là đã có rất nhiều người sử dụng máy tính tại Việt Nam tự mình tìm đến các "ổ dịch", thường là các website không rõ nguồn gốc.
Điểm đáng chú ý khác là những virus trong Top 10 virus lây nhiều nhất trong tháng đều là những virus cũ, có những loại đã được BKAV cập nhật từ tháng 8/2006. Nguyên nhân do người sử dụng có cài phần mềm diệt virus nhưng lại "quên" không cập nhật các mẫu virus mới thường xuyên. Để khắc phục tình trạng này, tốt nhất nên sử dụng phần mềm diệt virus có bản quyền để được tự động cập nhật mẫu virus mới qua mạng.
Lỗ hổng của Yahoo!Messenger
Trong tháng 6/2007, sự kiện an ninh mạng đáng chú ý nhất có thể ảnh hưởng tới cộng đồng Internet tại Việt Nam là lỗ hổng của Yahoo!Messenger (YM). Đây là lỗi tràn bộ đệm nghiêm trọng trong thành phần ActiveX Webcam của YM. Trung tâm an ninh mạng Bkis đã thử khai thác lỗ hổng này và thấy có thể dễ dàng kiểm soát máy tính chạy phiên bản YM bị lỗi. Như vậy hacker hoàn toàn có thể cài virus, trojan để đánh cắp thông tin hoặc cài backdoor điều khiển máy tính của nạn nhân. Kẻ tấn công chỉ cần tạo một trang web hoặc email, sau đó lừa nạn nhân vào xem. Nạn nhân bấm vào đường link hoặc mở email đó, mã khai thác sẽ được thực thi và máy tính sẽ bị kiểm soát. Nếu người dùng không chắc máy tính của mình đã vá lỗi hay chưa thì nên cài phiên bản YM mới nhất tại địa chỉ: http://messenger.yahoo.com/download.php.
“Malware lây theo bầy đàn”
Theo thống kê của BKIS, Việt Nam đã có 351.000 máy bị nhiễm các loại “malware lây theo bầy đàn”. Malware là cách gọi chung cho các loại phần mềm độc hại, bao gồm cả virus, trojan, spyware, adware... Khi bị nhiễm malware, nếu không được chữa chạy kịp thời, máy tính của nạn nhân sẽ nhanh chóng bị lây nhiễm thêm hàng loạt malware khác từ Internet. Khi người sử dụng truy cập vào một website có chứa mã độc hại, cuộc “đổ bộ” của bầy đàn malware bắt đầu diễn ra. Mỗi loại trong số đó có thể “kéo” về từ 15 đến 20 malware khác. Chúng  làm hạ thấp mức an ninh của hệ thống, vô hiệu hóa các chương trình Firewall trên máy và tiếp đó “kéo” thêm các malware khác từ Internet xuống.
Nếu thấy những dấu hiệu bất thường như: trang web lạ tự động hiện ra (popup), trang chủ trình duyệt bị thay đổi thành trang web lạ... thì có thể máy tính của bạn đã bị lây nhiễm.

Các virus lây nhiều nhất trong tháng 6/2007:
W32.WinibA.Worm; W32.Winib.Worm; W32.CatchYMK.Worm; W32.CatchYMQ.Worm; W32.SCkeylogA.Trojan; W32.DakNongB.Worm; W32.RavMonA.Worm; W32.SalityS.PE; W32.NotifyB.Worm
IIS 6.0 có thể bị tấn công từ chối dịch vụ
Một lỗ hổng mới của web server IIS 6.0 đã được công bố. Lợi dụng lỗ hổng này, hacker có thể tấn công từ chối dịch vụ làm tê liệt hoàn toàn website chạy .aspx (ASP.NET). Hiện tại vẫn chưa có thông tin chính thức từ Microsoft, nhưng theo kiểm tra của Bkis thì nhận thấy tồn tại khả năng này. 
IIS 6.0 là phần mềm web server có sẵn trong bộ Windows Server 2003 của Microsoft, hỗ trợ ngôn ngữ ASP.NET. Thông thường, các yêu cầu từ phía người dùng gửi tới web server đều được  xử lý trước rồi chuyển tới các module xử lý thích hợp tiếp theo. Một yêu cầu từ người dùng đến một trang có đuôi .aspx sẽ được chuyển cho module thực thi ngôn ngữ ASP.NET trên máy chủ.
Với lỗ hổng này của IIS, hacker có thể gửi liên tục các yêu cầu có đuôi .aspx bất thường tới server. Theo phân tích, yêu cầu này có liên quan tới truy xuất các cổng vật lý trên máy tính. Do quá trình xử lý không tốt, module được gọi gây ra lỗi HttpException và bị tràn, từ đó không thể trả lời được các yêu cầu .aspx khác.
Khi bị tấn công, toàn bộ thành phần xử lý .aspx của IIS bị tê liệt, khiến cho website được xây dựng hoàn toàn dựa trên nền .NET không thể truy nhập được vào, gây nên lỗi từ chối dịch vụ. Tuy nhiên, server vẫn có thể trả lời các yêu cầu không cần phải gọi tới module này như các yêu cầu .html, .asp... Ngoài ra, lỗi này cũng không thật sự nguy hiểm nếu người quản trị có biện pháp khắc phục kịp thời khi bị tấn công. Và nếu hacker ngừng tấn công thì chỉ sau một khoảng thời gian ngắn, server sẽ trở lại hoạt động bình thường. Hơn nữa, chỉ khi server sinh lỗi HttpException và mất một khoảng thời gian để trả lời yêu cầu từ hacker, nó mới có nguy cơ bị tấn công dựa trên lỗi này. 
Là một lỗi có mức độ nguy hiểm cao, có thể dẫn tới hậu quả khiến toàn bộ website bị tê liệt, vì vậy để phòng chống nguy cơ này, Bkis khuyến cáo các nhà quản trị hệ thống cần kiểm tra lại các máy chủ của mình và thực hiện các bước sau:
- Trong khi chờ đợi bản vá của Microsoft, các quản trị có thể tham khảo giải pháp phòng chống tạm thời dưới đây: tạo thư mục có tên AUX trên thư mục gốc của website; cấm mọi truy nhập đến thư mục này, bao gồm quyền thực thi (excutable), đọc (read), truy nhập (access)...
- Làm tương tự như trên với các thư mục có tên: COM1, COM2, COM3, COM4, LPT1, LPT2, LPT3, CON, PRN, NUL... (đây là tên các cổng vật lý trên máy tính được sử dụng mặc định trong Windows).
Vì đây chỉ là giải pháp tạm thời sử dụng trong khi chưa có bản cập nhật chính thức của nhà sản xuất nên cần thường xuyên theo dõi bản cập nhật từ nhà sản xuất, theo 2 cách sau: Bấm vào "Start" và chọn Windows Update, để hệ điều hành tự động cập nhật các bản vá lỗi; vào trang Web: http://www.microsoft.com/technet/security/current.aspx và xem thông tin về các lỗi và chọn những miếng vá phù hợp cho phần mềm của mình.

Tin cùng chuyên mục

Tin mới