Virus w32.Fiala đã gây hàm oan cho YM?
Mới đây, một số phương tiện truyền thông đại chúng đã đưa thông tin:
“chương trình chat Yahoo! Messenger (YM) bị chèn một đoạn mã độc”.
Nguồn tin trên cũng cho biết, đoạn mã phá hoại này được chèn vào phần
quảng cáo nằm bên dưới giao diện YM, có thể khiến máy tính của người sử
dụng bị hacker tấn công và chiếm quyền điều khiển. Đoạn mã này được
trung tâm thông tin bảo mật CMC phát hiện vào lúc 16g30 ngày 10-6-2008.
Trung tâm ứng cứu sự cố máy tính khẩn cấp (VNCERT) sau đó đã khuyến cáo
người dùng tạm thời không nên sử dụng YM. Nếu cần thiết phải giao tiếp
(chat) bằng dịch vụ YM, nên chuyển sang phần mềm bên thứ ba khác. Ngoài
ra, người dùng cần cập nhật phiên bản mới nhất của phần mềm Adobe Flash
Player tại địa chỉ http://www.adobe.com/products/flashplayer/ và cập nhật các phần mềm diệt virus để phát hiện và loại bỏ các virus lây lan qua lỗi YM này.
Tuy nhiên, theo nhận định của ông Vũ Ngọc
Sơn, Trưởng phòng virus, Trung tâm an ninh mạng Đại học Bách Khoa Hà
Nội (Bkis), YM đã bị oan và thủ phạm thực sự là một loại mã độc cùng họ
với dòng virus chèn banner tiếng Trung Quốc có tên Dashfer. “Mã này
chúng tôi đặt tên là Fiala, nó thuộc dòng virus w32.Fiala. Thực tế thì
việc cảnh báo YM bị chèn mã độc là một sự nhầm lẫn. Theo phân tích của
chúng tôi, mạng máy tính của người gửi cảnh báo cho VNCERT đã bị nhiễm
virus w32.Fiala, virus này sử dụng công nghệ giả mạo gateway mạng LAN
nên đã vô tình gây ra sự nhầm lẫn này. YM không “có tội” gì trong
trường hợp này”, ông Sơn nói.
Theo ông Sơn, đoạn mã này có tính
lây lan khá nhanh. Khi một máy trong mạng bị nhiễm, tất cả các máy
trong mạng khi kết nối Internet sẽ bị chèn các đoạn iframe chứa mã độc
hoặc banner quảng cáo ngoài ý muốn. Nếu máy tính đã bị nhiễm thì khi
người dùng vào bất kỳ website nào, không chỉ là YM (phần quảng cáo
trong YM cũng là một trang web) cũng sẽ thấy website đó bị chèn mã độc,
tuy nhiên mã độc này chỉ được chèn vào khi dữ liệu đã về tới mạng LAN
nơi có máy tính của người sử dụng, nó không liên quan tới YM.
Giải
thích thêm về cách lây lan của mã độc, ông Sơn cho biết, loại virus này
khi chui được vào một PC sẽ gửi gói tin tới tất cả các máy tính khác
trong cùng mạng để mạo danh là gateway của hệ thống, các kết nối ra
Internet của tất cả các máy tính trong mạng lúc này sẽ bị lừa đi qua
gateway giả mạo trước, rồi sau đó mới tới gateway thật, do đó các trang
web sẽ bị chèn thêm iframe có chứa mã độc trước khi chúng được trả về
cho máy tính của người sử dụng, khiến người truy cập vào trang web nào
cũng thấy có hiện tượng như gặp virus.
Trung tâm Bkis còn cảnh báo
thêm, ngoài virus w32.Fiala còn có các “anh em” là dòng virus
w32.Dasfer, w32.Dasfar, chúng cũng thuộc loại virus giả gateway có xuất
xứ từ Trung Quốc. Họ sâu này xuất hiện từ tháng 12-2007 và cho tới thời
điểm hiện nay liên tục nằm trong Top 5 những virus lây lan nhiều nhất
tại Việt Nam với bình quân 157.000 lượt lây nhiễm mỗi tháng. Hiện có
rất nhiều doanh nghiệp, cơ quan bị nhiễm loại virus này. Riêng trong
tháng 4 vừa qua Bkav đã phải giúp xử lý loại virus này cho 3 ISP trong
số 5 ISP lớn nhất Việt Nam hiện nay.
Phân tích từ Trung tâm
Bkis cũng cho biết, máy tính khi bị nhiễm dòng virus trên sẽ có một số
biểu hiện như: bị sửa registry, máy không sử dụng được một số chương
trình Antivirus, một vài tiện ích của Windows và một vài chương trình
khác. Ngoài ra, virus sẽ làm cho các file có thuộc tính ẩn không hiện
lên được, mà xuất hiện các popup quảng cáo gây khó chịu. Khi vào YM một
lúc thì bị thông báo Send/Don"t Send và không sử dụng được hoặc nặng
hơn là có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet
được).
“Các phần mềm diệt virus của Bkav đang thường xuyên cập
nhật virus thuộc dòng w32.Fiala, w32.Dasfer, w32.Dasfar và các mẫu nhận
diện. Ngoài ra, chúng tôi cũng triển khai các Honeypot để luôn “bẫy”
được các dòng virus này mỗi khi xuất hiện các biến thể mới hàng ngày”,
ông Sơn khẳng định.
Thời Đại
Chú thích ảnh: Quá trình chèn banner, popup của virus giả mạo gateway.
Ảnh: BKIS.
Nguồn: E-Chip
“chương trình chat Yahoo! Messenger (YM) bị chèn một đoạn mã độc”.
Nguồn tin trên cũng cho biết, đoạn mã phá hoại này được chèn vào phần
quảng cáo nằm bên dưới giao diện YM, có thể khiến máy tính của người sử
dụng bị hacker tấn công và chiếm quyền điều khiển. Đoạn mã này được
trung tâm thông tin bảo mật CMC phát hiện vào lúc 16g30 ngày 10-6-2008.
Trung tâm ứng cứu sự cố máy tính khẩn cấp (VNCERT) sau đó đã khuyến cáo
người dùng tạm thời không nên sử dụng YM. Nếu cần thiết phải giao tiếp
(chat) bằng dịch vụ YM, nên chuyển sang phần mềm bên thứ ba khác. Ngoài
ra, người dùng cần cập nhật phiên bản mới nhất của phần mềm Adobe Flash
Player tại địa chỉ http://www.adobe.com/products/flashplayer/ và cập nhật các phần mềm diệt virus để phát hiện và loại bỏ các virus lây lan qua lỗi YM này.
Tuy nhiên, theo nhận định của ông Vũ Ngọc
Sơn, Trưởng phòng virus, Trung tâm an ninh mạng Đại học Bách Khoa Hà
Nội (Bkis), YM đã bị oan và thủ phạm thực sự là một loại mã độc cùng họ
với dòng virus chèn banner tiếng Trung Quốc có tên Dashfer. “Mã này
chúng tôi đặt tên là Fiala, nó thuộc dòng virus w32.Fiala. Thực tế thì
việc cảnh báo YM bị chèn mã độc là một sự nhầm lẫn. Theo phân tích của
chúng tôi, mạng máy tính của người gửi cảnh báo cho VNCERT đã bị nhiễm
virus w32.Fiala, virus này sử dụng công nghệ giả mạo gateway mạng LAN
nên đã vô tình gây ra sự nhầm lẫn này. YM không “có tội” gì trong
trường hợp này”, ông Sơn nói.
Theo ông Sơn, đoạn mã này có tính
lây lan khá nhanh. Khi một máy trong mạng bị nhiễm, tất cả các máy
trong mạng khi kết nối Internet sẽ bị chèn các đoạn iframe chứa mã độc
hoặc banner quảng cáo ngoài ý muốn. Nếu máy tính đã bị nhiễm thì khi
người dùng vào bất kỳ website nào, không chỉ là YM (phần quảng cáo
trong YM cũng là một trang web) cũng sẽ thấy website đó bị chèn mã độc,
tuy nhiên mã độc này chỉ được chèn vào khi dữ liệu đã về tới mạng LAN
nơi có máy tính của người sử dụng, nó không liên quan tới YM.
Giải
thích thêm về cách lây lan của mã độc, ông Sơn cho biết, loại virus này
khi chui được vào một PC sẽ gửi gói tin tới tất cả các máy tính khác
trong cùng mạng để mạo danh là gateway của hệ thống, các kết nối ra
Internet của tất cả các máy tính trong mạng lúc này sẽ bị lừa đi qua
gateway giả mạo trước, rồi sau đó mới tới gateway thật, do đó các trang
web sẽ bị chèn thêm iframe có chứa mã độc trước khi chúng được trả về
cho máy tính của người sử dụng, khiến người truy cập vào trang web nào
cũng thấy có hiện tượng như gặp virus.
Trung tâm Bkis còn cảnh báo
thêm, ngoài virus w32.Fiala còn có các “anh em” là dòng virus
w32.Dasfer, w32.Dasfar, chúng cũng thuộc loại virus giả gateway có xuất
xứ từ Trung Quốc. Họ sâu này xuất hiện từ tháng 12-2007 và cho tới thời
điểm hiện nay liên tục nằm trong Top 5 những virus lây lan nhiều nhất
tại Việt Nam với bình quân 157.000 lượt lây nhiễm mỗi tháng. Hiện có
rất nhiều doanh nghiệp, cơ quan bị nhiễm loại virus này. Riêng trong
tháng 4 vừa qua Bkav đã phải giúp xử lý loại virus này cho 3 ISP trong
số 5 ISP lớn nhất Việt Nam hiện nay.
Phân tích từ Trung tâm
Bkis cũng cho biết, máy tính khi bị nhiễm dòng virus trên sẽ có một số
biểu hiện như: bị sửa registry, máy không sử dụng được một số chương
trình Antivirus, một vài tiện ích của Windows và một vài chương trình
khác. Ngoài ra, virus sẽ làm cho các file có thuộc tính ẩn không hiện
lên được, mà xuất hiện các popup quảng cáo gây khó chịu. Khi vào YM một
lúc thì bị thông báo Send/Don"t Send và không sử dụng được hoặc nặng
hơn là có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet
được).
“Các phần mềm diệt virus của Bkav đang thường xuyên cập
nhật virus thuộc dòng w32.Fiala, w32.Dasfer, w32.Dasfar và các mẫu nhận
diện. Ngoài ra, chúng tôi cũng triển khai các Honeypot để luôn “bẫy”
được các dòng virus này mỗi khi xuất hiện các biến thể mới hàng ngày”,
ông Sơn khẳng định.
Thời Đại
Chú thích ảnh: Quá trình chèn banner, popup của virus giả mạo gateway.
Ảnh: BKIS.
Nguồn: E-Chip