Worm SirCam đã đến Việt Nam

Đăng Khoa-VASC thực hiện

Liên tục trong hai ngày qua, mạng máy tính của một số cơ quan tại Hà Nội đã bị nhiễm loại worm SirCam. Đây là một loại worm mới xuất hiện trên thế giới, có khả năng phát tán rất nhanh. Chúng tôi đã tiến hành phỏng vấn chuyên gia virus Nguyễn Tử Quảng để cung cấp cho bạn đọc những thông tin chi tiết hơn về loại worm này.

Phóng viên (PV): Chào anh, được biết trong hai ngày vừa qua, một số máy tính tại các cơ quan ở Hà Nội đã bị nhiễm worm SirCam. Vậy xin anh cho biết một số thông tin về SirCam: đặc điểm, cơ chế lây nhiễm cũng như tác hại của worm?

Nguyễn Tử Quảng (NTQ): Worm SirCam xuất hiện trên thế giới vào ngày 18/7. Đây là một loại worm có sức phát tán khủng khiếp. Giống như các loại worm khác, SirCam lây nhiễm qua e-mail, dưới dạng một file đính kèm có phần mở rộng là .doc, .xls nhưng thực chất là các file .com, .pif, .exe, .bat...

Nếu người dùng chỉ mở thư ra đọc thì hoàn toàn vô hại. Nhưng khi họ mở file đính kèm, worm sẽ được kích hoạt. Mỗi lần người dùng khởi động lại máy tính, worm sẽ được nạp vào bộ nhớ để thực hiện chức năng của mình. SirCam sẽ tìm tất cả các địa chỉ e-mail có trong máy tính, thường là trong sổ địa chỉ chương trình thư điện tử, và trong thư mục Windows/Temporary lưu trữ tạm thời các file Internet khi người dùng duyệt Web, sau đó gửi mail đến tất cả các địa chỉ đã tìm được.

Đặc điểm nổi bật của SirCam là nó sẽ lấy một file bất kỳ trong máy tính, thường là các file Word (.doc, .dot) , Excel (.xls), rồi gắn đoạn mã của nó vào file đó. Sau đó, file này sẽ được đính vào e-mail và gửi ngẫu nhiên đến các địa chỉ đã tìm được. Điều đó có nghĩa là bạn có nguy cơ bị lộ thông tin quan trọng. SirCam đánh cắp file trên máy của bạn và gửi ngẫu nhiên cho rất nhiều người khác.

PV: SirCam có chức năng phá huỷ dữ liệu không ?

NTQ: Tôi chưa có thời gian nghiên cứu kỹ càng loại worm này. Khi xem đoạn mã của worm, tôi nhận thấy đến tháng 10 này worm sẽ thực hiện chức năng phá huỷ dữ liệu. Tuy nhiên, tôi chưa dám khẳng định chính xác. Tôi sẽ tiến hành kiểm tra lại và sẽ thông báo sau. Trước mắt cứ coi SirCam không phá huỷ dữ liệu mà chỉ lấy dữ liệu trên máy tính mà thôi.

PV: Xin anh cho biết SirCam được viết bằng ngôn ngữ gì ?

Có thể là Delphi. Tôi chưa dám khẳng định chính xác.

PV: Phiên bản BKAV 383 của anh có khả năng phát hiện và tiêu diệt loại worm này không ?

NTQ: BKAV383 chưa được cập nhật loại worm này. Trong những ngày sắp tới, chúng tôi sẽ phát hành bản BKAV có khả năng tiêu diệt worm SirCam. Tuy nhiên, người sử dụng có hiểu biết về Windows Registry vẫn có thể vô hiệu hóa được SirCam.

PV: Xin cảm ơn anh.

Chúng tôi xin giới thiệu với bạn một cách thức tiêu diệt worm SirCam:

Nếu bạn đang trong mạng, hãy lập tức cách ly máy tính của mình bằng cách: tắt modem hoặc rút cable mạng (nếu là mạng LAN), rồi tuần tự thực hiện theo các bước sau đây:

1. Đổi tên file: C:\WINDOWS\Regedit.exe thành Regedit.bat

2. Tắt máy tính của bạn rồi khởi động theo chế độ Safe Mode, nhấn F5 trong quá trình khởi động.

3. Sau khi vào Windows dưới chế độ Safe Mode, bạn hãy sao lưu registry của máy tính (phòng khi có lỗi trong quá trình chỉnh sửa):

- Nhấn Start\Run rồi đánh vào regedit.bat, nhấn OK

- Chọn menu Registry/Export Registry File

- Trong File Name, bạn gõ vào: backup

- Trong mục Save In, chọn Desktop

- Chọn All trong Export Range

- Cuối cùng nhấn vào nút Save

4. Quay lại cửa sổ Registry Editor

- Tìm theo nhánh:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\RunServices

- Trong cửa sổ bên phải, nhấn nút phải chuột vào giá trị Driver32 và chọn Delete

5. Tìm theo nhánh:

HKEY_LOCAL_MACHINE\Software\SirCam

- Nhấn chuột phải vào SirCam rồi chọn Delete

6. Tiếp tục tìm đến nhánh:

HKEY_CLASSES_ROOT\exefile\shell\open\command

- Nhấn nút phải chuột vào giá trị Default ở cửa sổ bên phải, chọn Delete

- Sau đó thoát khỏi Registry Editor

7. Xóa dòng lệnh khởi động của worm:

- Nhấn Start/Run, gõ: edit autoexec.bat

- Xóa chuỗi: @win c:\recycled\sicr32.exe

8. Sau đó thoát khỏi Windows. Bạn hãy tắt máy bằng cách nhấn vào nút Reset (không dùng Restart của Windows).

9. Khi máy bắt đầu khởi động

- Nếu bạn đang dùng hệ điều hành Windows 95 hoặc Windows 98: nhấn F8, chọn Safe Mode Command Prompt Only

- Đối với Windows ME hoặc Windows XP, bạn phải dùng đĩa khởi động.