w32.Shoho.a@mm

Virus mới mang tên Shoho (hay còn gọi là Welyah), khai thác lỗ hổng cũ trong trình duyệt IE của Microsoft và sử dụng cơ chế gửi e-mail của riêng mình. Nó có thể xóa các file Windows trên những hệ thống bị nhiễm.

Trên một số hệ thống, Shoho (w32.Shoho.a@mm) sẽ tự gửi mình khi người dùng xem các e-mail bị nhiễm. Nó sử dụng cơ chế SMTP riêng giống như virus SirCam, để gửi những bản copy đến các địa chỉ tìm thấy trong Outlook Address book và những file địa chỉ khác. Tuy nhiên, khác với SirCam, Shoho sẽ xóa các file Windows, và gây lỗi trên một số hệ thống khi khởi động lại.

Virus này đến từ e-mail mang tiêu đề "Welcome to Yahoo! Mail" và nội dung: “Các nhà cung cấp dịch vụ Internet không hỗ trợ bảng mã để xem thông điệp này. Để xem nội dung thông điệp gốc, bạn hãy mở file đính kèm. Nếu nội dung không hiển thị đúng, bạn hãy lưu file đó vào ổ cứng, rồi mở nó ra xem".

Nếu người dùng mở file đính kèm readme.txt, mà thực chất là file exe với mã chết người đó, Shoho sẽ tự copy nó vào thư mục Windows với tên Winl0g0n.exe, và thêm một số lệnh vào Registry để tự động chạy mỗi khi nạn nhân sử dụng máy tính Windows khởi động.

Ngăn chặn và khuyến cáo của chuyên gia diệt virus

Để tránh những lỗi trên trong trình duyệt IE 5.01, người dùng hãy cài đặt ngay bản sửa lỗi của Microsoft, hoặc nâng cấp IE. Những người sử dụng chương trình Microsoft Outlook 2002 và Outlook 2000 cũng phải cài bản nâng cấp bảo mật.

Vào những ngày lễ như Noel, năm mới, mọi người thường nhận được e-mail và thiệp chúc mừng Giáng sinh từ bạn bè. Và họ cũng có nguy cơ nhận được các tấm thiệp có chứa virus do kẻ xấu gửi đến. Andrew Armstrong, Giám đốc Công ty Bảo mật Máy tính Trend Micro, khuyến cáo: "Các bạn hãy cảnh giác. Nếu bạn nhận được những e-mail chứa file đính kèm không rõ xuất xứ, thì nên thận trọng. Tốt nhất là không mở file đính kèm đó ra". Bạn có thể sử dụng dịch vụ quét virus trực tuyến và cũng nên cài một vài phần mềm chống virus cho chiếc máy tính, của các hãng như F-Secure, Kaspersky, McAfee, Sophos và Trend Micro.

Minh Nghĩa (theo ZDNET, BBC)

----------------------------------------------------------------

Shoho lây nhiễm qua một e-mail có chủ đề và nội dung là "Welcome to Yahoo!Mail". File đính kèm có tên gọi là Readme.txt, tưởng chừng như là một file văn bản vô hại. Thực chất đây là một file có phần mở rộng là ".pif". Tác giả của worm đã chèn 125 ký tự trắng vào giữa phần mở rộng ".txt" và ".pif" để đánh lừa người sử dụng.

Giống như loại worm Badtrans xuất hiện đầu năm nay, Shoho lợi dụng một lỗ hổng trong trình duyệt Internet Explorer để lây lan. Do chương trình e-mail Outlook sử dụng Internet Explorer để thực hiện một số chức năng, trong đó có hiển thị nội dung e-mail, nên đối với chương trình e-mail Microsoft Outlook, lỗ hổng này cho phép worm được kích hoạt mỗi khi người nhận mở e-mail để xem, mà không cần phải mở file đính kèm. Đối với các chương trình e-mail khác, người nhận phải nhắp đúp vào file đính kèm thì Shoho mới được kích hoạt.

Khi được kích hoạt, Shoho sẽ tìm và phát tán đến tất cả các địa chỉ e-mail có trong sổ địa chỉ chương trình Outlook. Ngoài ra, Shoho sẽ quét tìm trong ổ cứng tất cả các địa chỉ e-mail và lưu trữ vào trong một file có tên gọi là EmailInfo.txt, trước khi gửi bản sao của nó đến các địa chỉ này. Shoho sử dụng cơ chế SMTP (Simple Mail Transfer Protocol) riêng chứ không dùng SMTP của Outlook.

Khi đã nằm gọn trong máy tính, Shoho sẽ sinh ra một số file và đồng thời cũng xoá đi một số file trong máy tính. Sự phá hoại này có thể làm cho máy tính bị treo và sau đó không khởi động lại được. Shoho chỉ phá hoại các máy tính chạy hệ điều hành Windows.

Một số công ty phần mềm chống virus xếp Shoho ở mức độ nguy hiểm thấp, nhưng do khả năng xóa file trong ổ cứng, người sử dụng Internet nên cẩn trọng với loại worm này.

Microsoft đã đưa ra bản sửa lỗi cho trình duyệt Internet Explorer. Bạn có thể tải xuống và cài đặt để ngăn chặn ảnh hưởng của Shoho.

Đăng Khoa-VASC
Theo PC World.com

PcLeHoan 1996 - 2002
Mirror : http://www.pclehoan.com
Mirror : http://www.lehoanpc.net
Mirror : http://www.ktlehoan.com