PCWorld VN 4/99

    Mới đây, chương trình e-mail miễn phí có tên là PROMAIL, do một số Web site phần mềm như shareware.com phân phối, thực chất là một Trojan horse. Nó thu thập tên, mật khẩu của người dùng đã được mã hoá rồi gửi đến account của nhà cung cấp e-mail miễn phí NetAddress. Nhưng bên cạnh đó, PROMAIL là một trình e-mail khách đích thực, và còn mạnh nữa là khác, theo lời nhận xét của một chuyên gia bảo mật.

    Dùng phần mềm tiện ích hợp pháp để sử dụng e-mail trên Internet, rồi sau đó đánh cắp mật khẩu của người dùng là một biến tấu mới của Trojan horse. Điều trớ trêu là dường như nó qua mặt được hầu hết các siêu site về phần mềm dùng chung như shareware.com của CNet, Simtel.Net, và cho đến chiều ngày 22/3/1999, filelibrary.com vẫn còn chào mời người dùng tải xuống!

    Nếu bạn tải xuống và chạy chương trình, nó sẽ thu thập đầy đủ họ tên, password, tên server SMTP và POP3, và nhiều thứ khác nữa của bạn rồi gửi đến một account tại NetAddress.

    Công ty Aeon Labs chuyên nghiên cứu công nghệ trực tuyến trên mạng đã cảnh báo các site có liên quan đến PROMAIL hồi từ đầu tháng Tư này. Đại diện của Aeon Labs đã chú thích trong một thông báo là từ khi công ty bẻ khoá account nói trên cho đến nay, họ đã tìm thấy tên của 80 nạn nhân, và hiện nay con số đó đã lên cả trăm.

    MSNBC đã thử tải PROMAIL xuống từ freeware.com. Ghi chú trong readme cho biết chương trình này do công ty Smartware Inc. viết, nhưng Hemal C. Mehtalia, chủ tịch Smartware khẳng định công ty ông không làm việc này. Còn công ty bảo mật Data Fellows nói theo phần tự giới thiệu "About" thì PROMAIL được viết dựa trên mã nguồn của Michael Haller, nhưng Haller thì chẳng dính líu gì đến Trojan Horse. Haller có phát triển một phần mềm e-mail miễn phí là Phoenix Mail, và mã nguồn đã được phổ biến trên mạng.

    Thông tin đầu tiên liên quan đến phần mềm này xuất hiện vào ngày 24/2/1999, khi ghi chú trên một nhóm tin giới thiệu chương trình e-mail miễn phí PROMAIL, phiên bản 1.21, đã được tải lên địa chỉ ftp.simtel.net. Nó được chào mời như một chương trình e-mail khách tiên tiến, dễ dùng, không giới hạn kích thước file đính kèm, bộ lọc tuỳ biến được, và hỗ trợ cả trình diệt virus phụ trợ v.v...

    Nhưng trong lúc người dùng đang tận hưởng các tính năng miễn phí này, thì bên trong hậu trường, PROMAIL đã thu thập các thông tin lên quan đến người dùng, và ngay khi giao thức gửi nhận thư SMTP được thiết lập, nó liền gửi e-mail chứa các thông tin trên đến một account, được dự đoán là account của tác giả. Tất cả e-mail đều có cùng dòng chủ đề "kirio".

    Shareware.com không lọc kiểm tra các phần mềm nó tải lên mạng mà chỉ tự động chuyển đến một số site quen thuộc có kho lưu trữ các phần mềm có thể tải xuống ố trong khi đó CNet.com lại không giám sát các file của cá nhân có từ shareware.com!

    Còn những yêu cầu gửi đến Simtel thì không được hồi báo mà nó chuyển tiếp đến 93 site lưu trữ phần mềm khác, khiến việc muốn loại bỏ hoàn toàn PROMAIL là vô cùng khó khăn.

    Ken Williams, người phụ trách site liên quan đến tổ chức bảo mật trên Internet có tên Packet Storm Security, nhận được một e-mail mà người gửi tự cho là tác giả của PROMAIL. Thư được gửi đến từ một trạm trung chuyển ẩn danh, nên khó xác định nguồn gốc. Trong thư tác giả cho biết mình thuộc lớp thiếu niên, viết Promail chỉ với mục đích kiểm chứng một vài điều mà thôi.

    "Đây không phải là tác phẩm gốc, tôi chỉ sửa đổi một domain đã có và thêm mã "Trojan horse" vào một bộ mã nguồn công khai". Cậu thiếu niên xưng tên là David này viết: "Tôi xin bảo đảm là tôi không lưu trữ, sử dụng, bán hay làm bất cứ điều gì với password và những thông tin khác của các bạn. Và tôi cũng không hề tải xuống các e-mail... Tôi chỉ muốn giúp người dùng cảnh giác hơn nữa về bảo mật trên Internet".

    Thế đấy, nếu chương trình do một cậu bé choai choai viết ra có thể lan truyền một cách dễ dàng trên mạng và không kiểm soát được thì chắc chắn đã có điều không ổn rồi...

    Một chương trình phá hoại đội lốt phần mềm hiền lành. Không giống như virus, Trojan horse không tự nhân bản, nhưng không vì thế mà kém sức công phá. Một dạng Trojan có sức phá hoại ngầm là chương trình nhận giúp bạn diệt virus, nhưng thực tế là đem virus vào máy tính của bạn.

    Tên gọi được đặt theo truyền thuyết từ câu chuyện "Trận chiến thành Troy" trong thần thoại Hy Lạp Iliad của Homer, mô tả người Hy Lạp tặng cho dân chúng thành Troy một con ngựa gỗ khổng lồ, trong bụng có chứa đầy binh sĩ. Sau khi dân Troy kéo ngựa vào thành, binh sĩ ra tấn công, hạ thành...

PcLeHoan 1996 - 2002
Mirror : http://www.pclehoan.com
Mirror : http://www.lehoanpc.net
Mirror : http://www.ktlehoan.com