Ngày 17-8, hãng F-Secure cho biết họ đã nhận diện được ba "dòng" sâu máy tính: Zotob, Bozori và Ircbot, tất cả đều tập trung khai thác một lỗ hổng bảo mật trong phần mềm Plug and Play (Cắm và Chạy) có trong hệ điều hành Windows 2000 của Microsoft. Những máy tính bị lây nhiễm sâu máy tính này sẽ liên tục bị khởi động lại.
Ông Mikko Hypponen, giám đốc nghiên cứu của hãng bảo mật Phần Lan này cho biết, hãng đã phát hiện được tất cả là 11 biến thể sâu máy tính, trong đó bao gồm bốn biến thể xuất hiện vào sáng ngày 17-8 tại châu Âu.
Hiện rất khó để đánh giá được mức độ tàn phá của những sâu máy tính này. Tuy nhiên, dường như chúng không nguy hiểm bằng các loại sâu máy tính Sasser hay Blaster trong những năm gần đây, một phần do chúng không lây nhiễm vào hệ điều hành Windows XP, vốn được sử dụng rộng rãi hơn.
Ông Hypponen cho rằng, đây là lần virus bùng phát tệ hại nhất trong năm nay. Có vẻ như đây là một "cuộc chiến virus" đã bùng nổ giữa ba "băng đảng" viết virus đang cạnh tranh nhau để đưa ra một biến thể virus có sức phá hoại mạnh nhất. F-Secure cho biết, những biến thể sâu máy tính Bozori mới nhất thậm chí còn loại bỏ những virus "cạnh tranh" với nó trên máy tính của người dùng.
Microsoft và các hãng phần mềm chống virus cho biết, các loại sâu máy tính này chỉ lây nhiễm vào các máy tính sử dụng hệ điều hành Windows 2000. Microsoft đã đưa ra một bản vá lỗi bảo mật Plug and Play này vào ngày 9-8 vừa qua, tuy nhiên những người dùng tại gia đình vốn rất hay chậm trễ trong việc cập nhật máy tính của họ, và một vài doanh nghiệp thì thực hiện việc này một cách miễn cưỡng do sợ làm hỏng các ứng dụng của họ.
Ngày 16-8, Microsoft đã tỏ ra nghi ngờ về những báo cáo về việc xuất hiện những virus mới và cho rằng tất cả những sâu máy tính này đều là biến thể mới của Zotob. Họ tiếp tục đánh giá chúng có "độ nguy hiểm thấp đối với khách hàng" và nói rằng những virus này có tốc độ lây lan chậm. Mặc dù, hãng này vẫn đánh giá lỗi bảo mật trong phần mềm của họ ở mức độ "nghiêm trọng".
Tuy nhiên, nhóm phản ứng chống virus của hãng phần mềm McAfee đã nâng mức độ nguy hiểm của một biến thể sâu máy tính IRCBot lên mức "cao". Đến cuối ngày 16-8, họ đã nhận được đến hơn 150 thông báo về việc sâu máy tính này đã lây nhiễm hoặc làm ngừng máy tính của người dùng, hầu hết là tại Mỹ, còn một số là ở châu Âu và châu Á.
Còn Trend Micro đã nhận được thông báo về sự lây nhiễm từ ba khách hàng doanh nghiệp, tuy nhiên không có thông báo nào từ những tập đoàn lớn.
Theo một thống kê của tờ Wall Street, dường như các phương tiện thông tin đại chúng đã trở thành những nơi bị nhiễm virus nặng nề nhất. Trong đó có mạng tin tức CNN của Time Warner, tờ New York Times, mạng truyền hình ABC, một chi nhánh của Walt Disney.
Ông Alan Paller, giám đốc nghiên cứu của Viện SANS suy đoán rằng có thể nguyên nhân của việc này là do biến thể sâu Zotob.C có khả năng lây lan qua một tệp hình ảnh.
Trong một bức thư điện tử, ông này viết: "Nếu một máy tính bị nhiễm đầu tiên có một danh sách thư điện tử bao gồm phóng viên của các hãng tin tức lớn, rất có thể đó sẽ là nơi bùng phát virus. Các hãng thông tấn thường không có các hạn chế file đính kèm thư điện tử một cách chặt chẽ (thí dụ như một quy tắc ngăn chặn tất cả các bức ảnh gắn kèm thư) bởi họ thường nhận được các bức ảnh hợp lệ".
Thời điểm mà sâu máy tính IRCBot xuất hiện lần đầu tiên là bảy ngày sau khi lỗi bảo mật phần mềm của Microsoft được công bố. McAfee cho biết đây là thời gian ngắn nhất mà một lỗi phần mềm bị khai thác rộng rãi. Kỷ lục trước đây là của sâu máy tính Sasser là hai tuần lễ.
Theo F-Secure, thông báo về việc lây nhiễm tiếp tục được gửi tới từ những tập đoàn lớn, đặc biệt là từ Mỹ. Những vụ lây nhiễm này có nguồn gốc chủ yếu là từ các máy tính xách tay được mang vào công ty, không bị ngăn chặn bởi hệ thống tường lửa chính của các công ty này.
Những sâu máy tính này nhân bản bằng cách quét các cổng 445/TCP trên máy tính và khi nó tìm được một nạn nhân, nó sẽ sử dụng mã khai thác lỗi phần mềm để tải về file virus chính qua giao thức truyền file FTP. Sau đó nó sẽ cài đặt một máy chủ FTP trên máy tính bị lây nhiễm và bắt đầu quét để tìm mục tiêu lây nhiễm tiếp theo.
Ông Hypponen cho biết, việc đánh giá mức độ thiệt hại do các sâu máy tính này gây ra là rất khó khăn do chúng không lây lan qua thư điện tử.
Hãng Microsoft đã đưa ra bản sửa lỗi vào ngày 9-8. Sau đó một ngày, một người Nga sử dụng bí danh "Houseofdabus" đưa ra một đoạn mã khai thác lỗi có thể được dùng để chiếm quyền điều khiển các máy tính chưa được vá lỗi.
Đến ngày 14-8, sâu máy tính Zotob.A được phát hiện. F-Secure cho biết, một nhóm vô danh đã tích hợp mã Houseofdabus vào một loại sâu máy tính có khả năng tự động lây lan qua mạng Internet. Hồi tháng 5 năm ngoái cũng đã có một vụ tương tự khi tác giả virus Sven Jaschan đã tích hợp mã khai thác lỗi LSASS vào biến thể sâu máy tính Sasser của anh ta.
Bạn có thể tham khảo cách phát hiện và loại bỏ virus Zotob tại đây.
|