W32.Leave.B

W32.Leave.B
Loại worm núp dưới dạng bản tin bảo mật của Microsoft

Đăng Khoa-VASC Theo Newsbytes
Các chuyên gia virus máy tính vừa phát hiện được một loại worm mới, núp dưới dạng một bản tin bảo mật của Microsoft, khuyến cáo người nhận tải xuống file đính kèm để tiêu diệt loại virus nguy hiểm Magistr. Trước đây, một loại worm khác có tên gọi là W32.Leave.B cũng đã sử dụng chiêu thức lừa đảo trên.

Tuần trước, các chuyên gia bảo mật của công ty Symantec Corp. đã phát hiện ra và đặt tên cho worm là W32.Pet_Tick.G. Worm được phát tán qua một e-mail có chủ đề: "Cảnh báo về một loại virus mới!". Phần nội dung e-mail là một thông báo có vẻ như được lấy từ bản tin bảo mật của Microsoft, khuyến cáo người sử dụng tải xuống một file có tên là mvsa.exe, để "phát hiện, bảo vệ người dùng và tiêu diệt loại virus Magistr".

Worm Magistr xuất hiện hồi tháng Ba và ngay lập tức đã chiếm vị trí số một trong danh sách liệt kê các loại virus nguy hiểm của các công ty nghiên cứu virus. Thậm chí, công ty F-Secure Corp. còn xếp Magistr ở mức "vô cùng nguy hiểm", bởi vì worm Magistr có khả năng ghi đè các file trong ổ cứng, xóa sạch các dữ liệu trong CMOS và Flash BIOS.

Theo Ken Dunham, chuyên gia cao cấp của SecurityPortal, những người thường xuyên cập nhật các phần mềm diệt virus không phải lo lắng lắm về Magistr. Tuy nhiên, khi mà máy tính đã bị nhiễm loại worm này thì người chủ của nó chỉ còn biết kêu trời, vì rất khó phục hồi máy tính trở lại hoạt động bình thường.

Nếu người nhận e-mail mở file đính kèm, worm Pet_Tick sẽ được kích hoạt. Một hộp thoại sẽ được mở ra với dòng chữ "Máy tính của bạn có vẻ như không bị nhiễm I.Worm.Magistr".

Hiện tại, đã có một vài người bị Pet_Tick đánh lừa. Không giống như các loại worm e-mail khác thường tra tìm các địa chỉ e-mail trong chương trình Microsoft Outlook để phát tán, worm Pet_Tick tra tìm thẻ "mailto" trong mã HTML của các trang Web đang được lưu trữ trong thư mục History của trình duyệt Internet Explorer.

Ken Dunham nói rằng sự có mặt khắp mọi nơi của Magistr cũng như việc người sử dụng hầu như không thể phục hồi được máy tính của mình sau khi bị Magistr tấn công, đã làm cho những người nhận e-mail cảm thấy cần thiết phải loại trừ Magistr. Họ đã tải xuống và chạy file đính kèm mà không hề biết rằng Pet_Tick đang chờ mình.

Tuần trước nữa, vào ngày 10/7, một loại worm có tên Leave.B cũng đã sử dụng chiêu thức lừa đảo giống như trên.

Mô tả của Symantec về worm Pet_Tick có địa chỉ:
http://www.sarc.com/avcenter/venc/data/w32.pet_tick.g.html

Phân tích của SecurityPortal về Magistr có địa chỉ:
http://securityportal.com/research/virus/profiles/w32magistrmm.html

Lời cảnh báo của Microsoft về bản tin giả mạo có địa chỉ:
http://www.microsoft.com/technet/itsolutions/security/news/bogus.asp

PcLeHoan 1996 - 2002
Mirror : http://www.pclehoan.com
Mirror : http://www.lehoanpc.net
Mirror : http://www.ktlehoan.com