Email là một trong những con đường phát tán mã độc khá hiệu quả, và cho tới nay vẫn được kẻ xấu sử dụng rộng rãi. Đã có những thời, email giúp kẻ xấu phát tán mã độc lên hàng triệu máy tính trên toàn thế giới, chẳng hạn như thời của MyDoom, Brontok…Tuy nhiên, qua thời gian, với nỗ lực cảnh báo của các hãng an ninh, phương thức đính kèm virus vào email không còn đạt hiệu quả như trước. Người dùng đã cảnh giác hơn với những email có đính kèm file không rõ nguồn gốc, để ý hơn tới phần mở rộng của file cho dù file đó có icon của các định dạng quen thuộc như .doc, .pdf, .jpg,…

Thực tế này đã buộc kẻ xấu phải tìm ra những phương thức mới để phát tán virus. Một trong số đó là lợi dụng kỹ thuật RLO (Right to Left Override – Đảo ngược Phải sang Trái) trong cách đặt tên file để giấu phần mở rộng của file, khiến người sử dụng nhầm tưởng đó là các file văn bản (.doc, .pdf, …) hay file ảnh (.jpg, .bmp, …).

Vậy bản chất của hiện tượng này là gì? Đối với các ngôn ngữ đọc từ phải sang trái (như tiếng Ả Rập…), Microsoft hỗ trợ việc hiển thị ngược xâu ký tự bằng cách thêm mã unicode U+202E vào trước xâu đó. Ví dụ, sau khi thêm mã U+202E vào trước kí tự “c” của file có tên XXXcod.exe, Windows sẽ hiển thị tên file thành XXXexe.doc. Và nếu kẻ xấu giả mạo cả icon file .doc nữa thì liệu bạn có mảy may nghi ngờ hay lập tức mở file ra xem?

Đây thực chất là 1 file virus

Có thể thấy đây là kỹ thuật khá tinh vi, và nếu không thực sự chú ý thì kể cả các chuyên gia cũng có thể bị lừa bởi những dòng virus này. Để không bị rơi vào bẫy của kẻ xấu, người sử dụng nên kiểm tra thuộc tính của file trước khi quyết định có chạy file hay không. Nếu file có định dạng của file thực thi (.exe, .scr, .pif,…) nhưng lại được hiển thị với phần mở rộng của một dịnh dạng file khác, đó chính là virus.

Đơn giản hơn, bạn có thể chạy các file nhận được trong Sandbox để được an toàn. Tốt hơn hết, bạn nên cài đặt 1 phần mềm diệt virus có bản quyền đủ mạnh để bảo vệ máy tính của bạn một cách toàn diện.

Phạm Tuấn Vũ – Bkav R&D

Thời gian gần đây, người dùng máy tính tại rất nhiều cơ quan, doanh nghiệp “bỗng nhiên” không thể truy cập vào được bất kỳ website nào, thay vào đó là một thông báo yêu cầu cập nhật trình duyệt.

Khi bấm nút “Browser update”, người sử dụng sẽ được yêu cầu tải về 1 chương trình về để “cập nhật” trình duyệt của mình.

Tuy nhiên, đó thực chất là một loại virus.

Những mạng nội bộ có hiện tượng như trên đều có ít nhất 1 máy tính bị nhiễm virus W32. Gatpaz.Worm có khả năng giả mạo DHCP Server để gửi các gói tin cấu hình đến các máy trạm nhằm thay thế địa chỉ DNS của các máy đó bằng địa chỉ server của hacker. Khi đó, khi người sử dụng truy cập mạng sẽ được chuyển hướng đến 1 website lừa đảo do hacker thiết lập từ trước.

Tình trạng này chỉ xảy đến đối với những mạng doanh nghiệp sử dụng phương pháp cấp phát động IP thông qua DHCP Server.

Trong mô hình này, mỗi mạng sẽ được thiết lập 1 DHCP Server làm nhiệm vụ quản lý và cấp phát IP cho các máy trong mạng đó. Khi máy bất kỳ cần 1 địa chỉ IP để truy cập mạng, nó sẽ gửi đi thông điệp DHCPDISCOVER ra toàn mạng. Sau khi nhận được thông điệp này, DHCP Server sẽ xử lý và gửi trả lại địa chỉ IP và một số thông tin được cấp phát cho máy đó. Quá trình gửi thông điệp chính là “lỗ hổng” trong mô hình này giúp hacker, một khi đã cài được Gatpaz vào 1 máy tính bất kỳ trong mạng, sẽ tạo được 1 DHCP Server giả mạo. Ngoài việc thiết lập địa chỉ IP cho các máy trạm, DHCP Server giả mạo còn thiết lập để địa chỉ DNS Server của máy đó trỏ về DNS Server của hacker, khi đó hacker sẽ toàn quyền kiểm soát hoạt động truy cập các website của người sử dụng.

Để giải quyết triệt để những trường hợp virus phá hoại mạng máy tính của các các doanh nghiệp như trên, Bkav khuyến cáo các công ty, tổ chức nên sử dụng một giải pháp diệt virus tổng thể dành cho doanh nghiệp.

Ngô Anh Huy – Bkav R&D

Một thời gian sau khi thu thập được một loạt các thư điện tử giả mạo FBI để phát tán W32.FakeFBIVariantovLT.Trojan, chúng tôi tiếp tục phát hiện một chiến dịch phát tán phần mềm lừa đảo mới, lần này là thông qua email giả mạo cảnh sát New York. Bức thư được gửi từ địa chỉ email có tên miền là nyc.gov, với nội dung thông báo về việc người nhận đã lái xe quá tốc độ vào lúc 7h25 sáng ngày 5/7.

“Để tự bào chữa, hãy in phiếu phạt được đính kèm và gửi tới tòa án thành phố, Po Box 117, Chatam Hall.”

Người nhận thậm chí có thể đã không có mặt tại New York vào thời điểm được nhắc đến trong email, nhưng vì muốn bào chữa cho mình, hoặc chỉ vì tò mò, họ vẫn mở tệp tin đính kèm này. Khi được giải nén, tệp tin có định dạng của file pdf. Đây thực chất là một trojan. Khi được chạy lên, trojan này sẽ kết nối đến nhiều địa chỉ khác nhau và tải về nhiều phần mềm độc hại, làm giảm mức độ an ninh của hệ thống.

Một trong những phần mềm độc hại này được Bkav nhận diện là W32.FakeHddRepair.Trojan.

Giống như W32.FakeFBIVariantovLT.Trojan, W32.FakeHddRepair.Trojan liên tục hiển thị các thông báo về lỗi ổ cứng:

Chương trình HDD Repair giả mạo được bật lên, tiến hành quét và cảnh báo các lỗi của ổ cứng. Để sửa được các lỗi này, người sử dụng cần phải bỏ ra một khoản tiền để kích hoạt phần mềm.

Kịch bản lừa đảo này đã trở nên tương đối quen thuộc: cảnh báo người dùng về những lỗi nghiêm trọng của hệ thống mà trên thực tế là không có thật, đưa ra một giao diện chương trình sửa các lỗi đó, với điều kiện phải trả tiền mua phần mềm. Tuy nhiên, nếu máy tính có chứa những dữ liệu quan trọng, sẽ không ít người chấp nhận bỏ ra một khoản tiền để “lấy lại” những dữ liệu đó.

Bkav khuyến cáo người sử dụng cần luôn cảnh giác trước các bức thư điện tử có tệp tin đính kèm. Đồng thời, để bảo vệ máy tính hữu hiệu và toàn diện nhất, bạn nên cài đặt một phần mềm diệt virus đủ mạnh, có bản quyền để được cập nhật mẫu nhận diện virus mới thường xuyên.

Nguyễn Hùng Phú – Bkav R&D