Lê Quang Trung

Sâu mới tấn công người dùng Yahoo Messenger

Friday, 1. June 2007, 15:31:51

Hãng bảo mật Bitdefender vừa công bố một loại sâu mới mang tên Worm.Sohanat.Z lây nhiễm qua trình tin nhắn đa phương tiện Yahoo Messenger bằng cách dẫn dụ người dùng nhấn vào các liên kết. Worm.Sohanat.Z là một biến thể thứ 26 của họ sâu Sohanat. Khi máy tính bị lây nhiễm thì sẽ có các triệu chứng sau:

Trang chủ của trình duyệt Internet Explorer sẽ là địa chỉ website có cài virus và nạn nhân sẽ không thể thay đổi trang chủ vì sâu đã khóa chức năng này. Tham khảo tại khóa : "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Home page".
Task Manager, Regedit và hộp thoại Run trong trình đơn Start cũng bị khóa.
Tự động gởi đi liên kết lây nhiễm đến mọi người trong danh sách địa chỉ Yahoo Messenger của nạn nhân. Chúng sẽ rất khéo léo để dẫn dụ nạn nhân nhấn vào liên kết để tự nhân bản. Quá trình này bạn sẽ không thể nào biết được trừ khi có phản hồi của người đã bị lây nhiễm từ liên kết mà virus tự gởi đi.
Ngoài ra, sâu còn dò tìm tập tin Bitdefender.exe xem nó có hiện diện trong thư mục Windows hay không. Nếu không, nó sẽ tải về một bản sao chép và đặt trong thư mục %WINDIR%. Worm.Sohanat.Z cũng muốn chắc rằng nó sẽ được tự động kích hoạt khi khởi động Windows bằng cách hiệu chỉnh khóa giá trị trong registry: "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Task Manager"
Các khóa giá trị sau trong registry sẽ bị sâu hiệu chỉnh :
4 khóa bị thay đổi thành liên kết chứa sâu :

"HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\DefaultSearchURL"
"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page"
"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar"
"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl"
3 khóa giá trị bị thay đổi thành 1 (khóa).

"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\SystemRestore\DisableConfig"
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
Giá trị bị đổi thành 0 để khóa các thiết lập sau :

"HKEY_CURRENT_USER\Software\Google\GoogleToolbarNotifier\ShowTrayIcon"
"HKEY_CURRENT_USER\Software\Google\GoogleToolbarNotifier\KeepDS"
"HKEY_CURRENT_USER\Software\Google\GoogleToolbarNotifier\ShowTrayIcon"
Chức năng hỗ trợ tìm kiếm cũng bị khóa tại giá trị :

"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Use Search Asst"

"Mánh khóe của loại sâu này là giả dạng một thành phần có liên quan đến phần mềm bảo mật được tin tưởng. Nó khai thác sai lầm của người dùng trước rồi mới tới việc tận dụng lỗi của công nghệ", theo Mihai Cimpoesu, chuyên viên nghiên cứu virus tại Bitdefender cho biết.

Bitdefender khuyến cáo người dùng nên cập nhật cơ sở dữ liệu mới nhất cho trình anti-virus của mình thì sẽ ngăn chặn và diệt được loại sâu này.