ngocdiep
04-09-2004, 22:29
Trojan BagleDl.A vừa được nhiều hãng phần mềm an ninh phát hiện. Người sử dụng được khuyến cáo nên cảnh giác với những e-mail không mời bên trong mang nội dung ảnh (photo).
BagleDl.A là tên do hãng Sophos (Anh) đặt trong khi các công ty an ninh khác lại gọi là Bagle.AT, Beagle.AO hay Bagle.AI. Nhiều doanh nghiệp cho biết đã phát hiện rất nhiều spam chứa biến thể Bagle này xâm nhập hệ thống thư điện tử của họ. BagleDl.A xuất hiện trong những e-mail có đặc điểm sau:
Chủ đề (Subject): foto
Nội dung: foto
File đính kèm: foto.zip hoặc fotos.zip
Nếu người nhận thư mở phần attachment có dạng ZIP và bấm vào file HTML bên trong, thì cứ 6 tiếng một lần, Trojan này sẽ tải một chương trình tấn công từ một trong hơn 131 website khác nhau, trong số đó có rất nhiều bắt nguồn từ Đông Âu.
Theo Ken Dunham, Giám đốc nghiên cứu của hãng iDefense, trong vòng 1 tiếng đầu tiên sau khi xuất hiện, họ đã ghi nhận ít nhất là 11.000 bản sao của BagleDl.A. Craig Schmugar, Giám đốc nghiên cứu của McAfee, thì cho rằng việc phát tán ồ ạt theo kiểu spam như vậy cho thấy tác giả của Trojan đã sử dụng một mạng lưới nhiều máy tính bị lây nhiễm từ trước để tung ra số lượng mail mang virus lớn.
“Trojan này đang cố sử dụng phương thức dùng hàng loạt trang web khác nhau để phát tán mã bằng cách ra lệnh cho các máy tính bị lây nhiễm tải bản update của nó theo chù kỳ 6 tiếng”, Graham Cluley, chuyên gia công nghệ của Sophos, nói. “Vì vậy, rất khó có thể vô hiệu hóa tất cả các website nguồn. Thủ đoạn nói trên cũng làm cho mã chương trình của tin tặc được dễ dàng nâng cấp thường xuyên hơn. Việc phát tán ồ ạt Trojan này là một kiểu chuẩn bị cho các cuộc tấn công về sau”.
Sophos cho rằng có khả năng BagleDl.A là “tác phẩm” của cùng một kẻ đã phát tán sâu Bagle, tấn công hàng nghìn máy tính đầu năm nay. BagleDl.A có nhiều nét tương đồng với Bagle, trong đó có đặc điểm tự sao chép vào các folder trên mạng ngàng hàng P2P với những tên file hấp dẫn như “Microsoft Office 2003 *****” hoặc “****o Screensaver”. BagleDl.A còn cố gắng vô hiệu hóa hơn 20 dịch vụ cập nhật phần mềm chống virus và các chương trình tường lửa. Nó có khả năng tắt firewall cài mặc định trong phiên bản Service Pack 2 (SP2) cho Windows XP mà Microsoft vừa phát hành gần đây. “Người sử dụng không nên đắc chí rằng PC của mình đã cài SP2 thì sẽ không bị làm sao”, Cluley khuyến cáo. “Nếu BagleDl.A xâm nhập được vào máy thì tường lửa sẽ bị tắt và hệ thống có thể bị mở toang cho những cuộc tấn công khác của hacker”.
Theo chuyên gia này, tất cả người sử dụng máy tính nên đảm bảo phần mềm diệt virus của mình đã được nâng cấp và có khả năng đối phó với biến thể mới. Biện pháp tốt nhất, như thường lệ, vẫn là cảnh giác với những e-mail không rõ nguồn gốc.
(theo Sophos, InternetWeek)
BagleDl.A là tên do hãng Sophos (Anh) đặt trong khi các công ty an ninh khác lại gọi là Bagle.AT, Beagle.AO hay Bagle.AI. Nhiều doanh nghiệp cho biết đã phát hiện rất nhiều spam chứa biến thể Bagle này xâm nhập hệ thống thư điện tử của họ. BagleDl.A xuất hiện trong những e-mail có đặc điểm sau:
Chủ đề (Subject): foto
Nội dung: foto
File đính kèm: foto.zip hoặc fotos.zip
Nếu người nhận thư mở phần attachment có dạng ZIP và bấm vào file HTML bên trong, thì cứ 6 tiếng một lần, Trojan này sẽ tải một chương trình tấn công từ một trong hơn 131 website khác nhau, trong số đó có rất nhiều bắt nguồn từ Đông Âu.
Theo Ken Dunham, Giám đốc nghiên cứu của hãng iDefense, trong vòng 1 tiếng đầu tiên sau khi xuất hiện, họ đã ghi nhận ít nhất là 11.000 bản sao của BagleDl.A. Craig Schmugar, Giám đốc nghiên cứu của McAfee, thì cho rằng việc phát tán ồ ạt theo kiểu spam như vậy cho thấy tác giả của Trojan đã sử dụng một mạng lưới nhiều máy tính bị lây nhiễm từ trước để tung ra số lượng mail mang virus lớn.
“Trojan này đang cố sử dụng phương thức dùng hàng loạt trang web khác nhau để phát tán mã bằng cách ra lệnh cho các máy tính bị lây nhiễm tải bản update của nó theo chù kỳ 6 tiếng”, Graham Cluley, chuyên gia công nghệ của Sophos, nói. “Vì vậy, rất khó có thể vô hiệu hóa tất cả các website nguồn. Thủ đoạn nói trên cũng làm cho mã chương trình của tin tặc được dễ dàng nâng cấp thường xuyên hơn. Việc phát tán ồ ạt Trojan này là một kiểu chuẩn bị cho các cuộc tấn công về sau”.
Sophos cho rằng có khả năng BagleDl.A là “tác phẩm” của cùng một kẻ đã phát tán sâu Bagle, tấn công hàng nghìn máy tính đầu năm nay. BagleDl.A có nhiều nét tương đồng với Bagle, trong đó có đặc điểm tự sao chép vào các folder trên mạng ngàng hàng P2P với những tên file hấp dẫn như “Microsoft Office 2003 *****” hoặc “****o Screensaver”. BagleDl.A còn cố gắng vô hiệu hóa hơn 20 dịch vụ cập nhật phần mềm chống virus và các chương trình tường lửa. Nó có khả năng tắt firewall cài mặc định trong phiên bản Service Pack 2 (SP2) cho Windows XP mà Microsoft vừa phát hành gần đây. “Người sử dụng không nên đắc chí rằng PC của mình đã cài SP2 thì sẽ không bị làm sao”, Cluley khuyến cáo. “Nếu BagleDl.A xâm nhập được vào máy thì tường lửa sẽ bị tắt và hệ thống có thể bị mở toang cho những cuộc tấn công khác của hacker”.
Theo chuyên gia này, tất cả người sử dụng máy tính nên đảm bảo phần mềm diệt virus của mình đã được nâng cấp và có khả năng đối phó với biến thể mới. Biện pháp tốt nhất, như thường lệ, vẫn là cảnh giác với những e-mail không rõ nguồn gốc.
(theo Sophos, InternetWeek)