Còn hơn 2 tuần nữa Giáng sinh mới đến, nhưng kẻ xấu đã bắt đầu chiến dịch phát tán virus mới qua các email giả mạo thiệp mừng Giáng sinh.

Ảnh 1 : Một trong những email giả mạo

Ảnh 2: Virus với icon hình ông già Noel

Theo quan sát từ hệ thống Honeypot của chúng tôi, đứng đằng sau chiến dịch này chính là nhóm tác giả của Sonespa, virus lợi dụng các dịch vụ trực tuyến phổ biến như Facebook, Hi5, Twitter, Google, Hallmark…để phát tán trong thời gian gần đây.

Virus này (Bkav nhận diện với tên W32.Christecard.Worm), khi được thực thi sẽ :

Tạo file :

-     %SystemDir%\AdobeARM.exe

-          %SystemDir%\adobe3.exe

-          %SystemDir%\adobe4.exe

-          %Windir%\nherdm.dll

Tạo key :

-          [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

Adobe Updater1 = “%System%\AdobeARM.exe”

Pwulinubesida = “rundll32.exe “%Windir%\nherdm.dll”,Startup”

Tiêm mã độc vào tiến trình “explorer.exe” của hệ thống.

Gửi email giả mạo thiệp điện tử kèm theo virus để phát tán.

Kết nối đến các server có địa chỉ IP:

-          72.233.89.199

-          94.75.221.78

Bkav R&D

Trong một bài blog cách đây khá lâu, chúng tôi đã đề cập đến xu hướng giả mạo Facebook Support gửi email để phát tán mã độc. Cho tới nay, hệ thống Honeypot của Bkav vẫn thường xuyên thu thập được những email dạng này – phương thức không mới, tuy nhiên nội dung email và file đính kèm chứa mã độc liên tục được thay đổi.

Hình 1: Một trong những email giả danh Facebook

Tại sao một phương thức đã quá cũ vẫn được kẻ xấu tin dùng trong một khoảng thời gian dài? Điều đó cho thấy nó vẫn còn rất hiệu quả. Hãy cùng đi sâu vào phân tích bản chất vấn đề. Không quá khó để thấy Facebook vẫn đang là mạng xã hội ảo lớn nhất thế giới, là “thị trường” béo bở của hacker. Cũng nhờ sự nổi tiếng này, những email giả mạo Facebook sẽ vượt qua các hệ thống lọc thư rác dễ dàng hơn rất nhiều so với những email bình thường khác.

Vậy, bạn nên làm gì khi nhận được một email như thế? Đơn giản, đừng vội tin vào icon mà hãy hiện phần mở rộng của file trước khi quyết định có mở file hay không.

Hình 2: Cẩn thận với các icon

Không nên mở nếu file có phần mở rộng là “.exe”, “.bat”, “.pif” hay “.scr”. Quan trọng hơn, bạn cần thường xuyên cập nhật phiên bản mới nhất cho chương trình antivirus để bảo vệ máy tính một cách toàn diện hơn.

Bkav R&D