Một đợt tấn công phát tán thư rác giả danh Facebook với các chủ đề như “Facebook Notification sent you a message on Facebook…” (Facebook Notification gửi đến bạn một thông điệp trên Facebook…) hay “Facebook Support sent you a message on Facebook…” (Facebook Support gửi đến bạn một thông điệp trên Facebook…) đã diễn ra trong những ngày qua.

Nội dung thông báo giả danh Facebook

Khi người dùng bấm vào vào kết nối giả dưới dòng chữ “To read this message, follow the link below” (Để xem thông điệp, hãy truy cập vào kết nối sau), thay vì vào website Facebook, người sử dụng sẽ bị chuyển đến các website bán Viagra. Nghiêm trọng hơn, người sử dụng có thể bị chuyển đến các website chứa mã độc và virus sẽ bị tải về máy.

Có nhiều domain khác nhau được sử dụng trong đợt tấn công này, ví dụ như: monicapredatu.go.ro, berks.net, esglesiadepremia.org and w2webdesign.com …

Bkav khuyến cáo người sử dụng không nên đọc hoặc bấm vào các mail có chủ đề như trên và thường xuyên cập nhật phần mềm diệt virus để bảo vệ máy tính và các thông tin cá nhân.

Bkis Security

Chỉ vài ngày sau khi Worm phát tán qua Yahoo! Messenger (Ymfocard) xuất hiện, chúng tôi tiếp tục phát hiện một loại worm mới, tinh vi hơn, nhắm vào cả Skype lẫn Yahoo! Messenger.

Các tin nhắn với nội dung khác nhau do worm phát tán qua Skype

Vẫn với phương thức chèn link độc hại vào các cửa sổ chat giống như Ymfocard, tuy nhiên, cách thức lừa đảo của loại Worm này tinh vi hơn rất nhiều.

Mỗi lần phát tán đường link chứa mã độc, worm này lại gửi các tin nhắn có nội dung khác nhau, ví dụ “Does my new hair style look good? bad? perfect?” (Trông kiểu tóc mới của tôi thế nào? Đẹp? Xấu? Hoàn hảo?), hay “My printer is about to be thrown through a window if this pic won’t come our right. You see anything wrong with it?” (Tôi sẽ ném cái máy in ra cửa sổ nếu cái ảnh này không chui ra ngay lập tức. Bạn có thấy điều gì không ổn trong cái ảnh này không?) … Những thông điệp trên dễ kích thích người nhận tin nhắn click vào đường link độc (như trong ảnh trên), vì cho rằng “bạn bè” của mình đang cần được tư vấn. Bên cạnh đó, đường link thể hiện một file có đuôi là .JPG càng khiến người sử dụng nghĩ rằng đó là một file ảnh.

Nếu người nhận bấm vào đường link trên, trình duyệt ngay lập tức sẽ chuyển tới một website có giao diện gần giống với Rapidshare, và một file .zip được yêu cầu tải về.

Giao diện gần giống với Rapidshare

Một file .zip được yêu cầu tải về

File được giải nén thực chất là virus. Tuy nhiên file này được ngụy trang như một file ảnh có định dạng .JPG và đuôi .COM (định dạng file thực thi) được khéo léo che đậy, khiến người sử dụng nghĩ rằng đó là phần mở rộng .com của tên miền (nơi file này được host).

Phần đuôi .COM được khéo léo che đậy

Sau khi phân tích loại worm này, chúng tôi thấy nó có nhiều tính năng và hoạt động phức tạp hơn so với Ymfocard.

• Worm tự động kết thúc nếu máy tính của nạn nhân không cài Skype và Yahoo! Messenger
• Tự động gửi tin nhắn với nội dung khác nhau, chứa link độc hại tới các nick trong friend list Yahoo! Messenger, Skype của người dùng
• Tự động chèn link độc hại vào các file Word, Excel hoặc các email đang soạn
• Kết nối tới IRC server để nhận lệnh điều khiển của hacker
• Chặn máy tính truy cập vào hơn 700 website về security hoặc anti-virus
• Chặn không cho các phần mềm anti-virus hoạt động
• Chống máy ảo và sandbox
• Sử dụng kĩ thuật rootkit để ẩn file và tiến trình của worm
• Tự động copy bản thân kèm theo file Autorun.inf vào các ổ USB để phát tán

Bkav nhận diện worm này là W32.Skyhoo.Worm.

Một lần nữa, chúng tôi xin khuyến cáo người sử dụng cần hết sức cẩn trọng trước khi bấm vào các link nhận được, ngay cả từ người thân hay bạn bè của mình. Bên cạnh đó, cần thường xuyên cập nhật phiên bản mới cho phần mềm diệt virus trên máy tính của mình.

Bkis Security

Theo số liệu thống kê từ hệ thống giám sát virus – Bkav Honeypot, tính đến ngày 4/5/2010, đã có 10.500 máy tính tại Việt Nam bị nhiễm virus Ymfocard. Tuy nhiên, tốc độ lây lan của virus này trong khoảng 1 ngày trở lại đây đã chậm lại do nhiều người sử dụng đã cảnh giác hơn với các đường link lạ gửi qua Yahoo! Messenger đồng thời sử dụng phần mềm diệt virus để làm sạch máy tính.

Bkis Security

Một loại sâu mới, tấn công qua Yahoo! Messenger, vừa xuất hiện và đang lây lan nhanh trong cộng đồng người sử dụng phần mềm hội thoại trực tuyến này.

Tin nhắn chứa mã độc được gửi qua Yahoo! Messenger

Một vài ngày trở lại đây, nhiều người nhận được từ nick Yahoo của bạn bè các tin nhắn có kèm đường link được thể hiện giống như một file ảnh. Nếu bấm vào link này, trình duyệt sẽ tải về một file exe có chứa mã độc. Khi người sử dụng mở file exe vừa tải về, lập tức máy tính sẽ bị nhiễm virus. Khi đó, chính phần mềm Yahoo! Messenger chạy trên máy tính này trở thành nguồn phát tán mã độc tới những người sử dụng Yahoo! Messenger khác. Virus sẽ tiếp tục tự động gửi link độc tới các tài khoản trong friend list Yahoo! Messenger của người sử dụng.

File exe chứa mã độc được ngụy trang thành một file ảnh

Cách thức tấn công của loại virus mới này giống với các loại sâu từng lây lan qua Yahoo! Messenger trước đây, nhưng mức độ nguy hiểm lớn hơn nhiều vì kiểu ngụy trang của loại sâu này khiến người sử dụng tưởng rằng bạn bè chia sẻ ảnh nên không đề phòng, dễ dàng bấm vào link và mở file độc.

Thông tin file cho thấy đây là một file exe

Bkav nhận diện loại sâu này là W32.Ymfocard.Worm (và các biến thể của nó là W32.Ymfocard.fam.Botnet), khi lây nhiễm trên máy tính của người sử dụng, sâu này tự động bật lên cửa sổ mở tới một trang web, và tự động gửi link phát tán qua Yahoo! Messenger. Dưới đây là một số phân tích về hành vi của loại sâu này:

1. Tự động popup trang : http://browseusers.myspace.com/Browse/Browse.aspx khi virus chạy lần đầu tiên

2. Ghi key:

• [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Firewall Administrating” = “c:\windows\infocard.exe”
• [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] “Firewall Administrating” = “c:\windows\infocard.exe”

Để virus được kích hoạt mỗi khi Windows khởi động

3. Ghi key

• [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

Để qua mặt firewall

4. Tạo bản sao của chính nó vào thư mục %WinDir% với tên “infocard.exe”

5. Dump ra file %WinDir%\winbrd.jpg

6. Tự động gửi link phát tán qua Yahoo! Messenger

• http://mig[removed]tos.com/image.php
• http://www.k[removed]nk.com/image.php
• …………..

Người sử dụng Yahoo! Messenger cần cảnh giác khi nhận được các link lạ, ngay cả khi chúng được gửi từ bạn bè thân thiết, đồng thời thường xuyên cập nhật phiên bản mới nhất của phần mềm diệt virus để bảo vệ máy tính.

Bkis Security