• Thứ Ba, 15/06/2004 02:34 (GMT+7)

    Cập nhật D32

    Phiên bản D32 (11/04/2004) cập nhật phần nhận dạng các biến thể của virus Spaces.1445, Pate.W32, Hacktool.v16 và nhóm thể hiện của PWSteal.v16.
    Spaces.v2.1445 và Pate.b.W32 là F-virus lây vào các file EXE-PE của Windows 32. Hacktool.v16.W32 là công cụ phát tán sâu PWSteal đánh cắp mật khẩu truy cập Internet.

    Phiên bản D32 (14/04/2004) cập nhật 2 biến thể J và S của Netsky: Biến thể J (theo cách gọi của McAfee, Symantec gọi K) cải tiến thuật toán tàng hình, bíên thể S tập trung khống chế registry system khi thường trú. Khi quét bằng D32 (14-04-04) gặp thông báo Netsky.s thường trú trong bộ nhớ, người sử dụng phải khởi động máy tính trong chế độ an tòan (safe mode) rồi gọi D32 quét thư mục hệ thống (C:\Windows) một lần nữa mới sạch virus.
    Các biến thể (variant) Netsky đã cập nhật vào D32 gồm B, C, D, J, P, Q và S.

    Phiên bản D32 (20-04-2004) cập nhật các virus sau:

    - Beagle.i.W32: phiên bản sau của Beagle.h.W32.

    - Lovgate.r.W32: phiên bản sau của Lovgate.h.W32 với kích thước nén 128 KB. D32 nhận dạng chính xác các thể hiện ZIP lẫn EXE của sâu này.

    - PWS-Narod.trj.W32: trojan đánh cắp password, hoạt động cùng với sâu Dumaru.a.W32.

    - Dumaru.a.W32: sâu gửi theo email có tiêu đề, nội dung như sau:

    From: 'Microsoft' security@microsoft.com

    Subject: Use this patch immediately !

    Attachment: patch.exe

      'Dear friend , use this Internet Explorer patch now!

        There are dangerous virus in the Internet now!

        More than 500.000 already infected!'

    Dumaru phát tán trojan PWS-Narod.trj.W32 theo file Windrv.exe, sau đó copy bản thân thành các file LOAD32.EXE, VXDMGR32.EXE và DLLREG.EXE  trong các thư mục hệ thống rồi đăng ký startup. Không những mạo danh Microsoft, virus này còn giả dạng người quản trị mạng của Viện Duma Quốc gia Nga (admin@duma.gov.ru). Trong một số trường hợp đặc biệt, nhất là các hệ thống NTFS, Dumaru lây và phá hủy các ứng dụng hệ thống quan trọng, không thể phục hồi.

    Phiên bản D32 (01-05-2004) cập nhật các virus Netsky.z, Netsky.ab và Bagle.aa.

    Người sử dụng máy tính cần cảnh giác khi nhận được các file đính kèm e-mail của Bagle.aa. Chúng có thể núp dưới dạng các ứng dụng *.EXE, trang web *.HTML, ứng dụng web *.HTA, kịch bản *.VBS hoặc các modul thiết lập hệ thống dạng *.CPL (Control Panel)... Trong quá trình phân tích, nhóm D32 đã giải mã được thông điệp của Bagle.aa:

    In a difficult world

    In a nameless time

    I want to survive

    So, you will be mine

    -- Bagle Author, 29.04.04, Germany.

    Sự xuất hiện rất sớm của sâu trình này (29-4 phát tán, 30-4 đến Việt Nam) chứng tỏ chúng đã được cải tiến rất công phu để gia tăng sức lây lan trên mạng.

    Phiên bản D32(01-05-2004) còn cập nhật sâu Sepud.worm. Sâu này giả dạng các gói vá lỗi bảo mật (Security Patch Update) được gửi từ Microsoft.

    Trong những ngày đầu tháng 5-2004, virus Sasser đã lây nhiễm khá phổ biến ở nhiều nơi trên thế giới và Việt Nam. Kịch bản lây nhiễm của Sasser rất giống Blaster trước đây: Khi connect vào mạng bị lỗi (H1). Sau đó máy tự động shutdown (H2) lặp đi lặp lại như thế nhiều lần.

     Theo phân tích của các chuyên gia, virus Sasser khai thác lỗ hổng trong một bộ phận Windows có tên Dịch Vụ Giám Sát Hệ Thống An Ninh Cục Bộ (LSASS - Local Security Authority Subsystem Service) thuộc một số phiên bản mới nhất của Windows như 2000, Server 2003 và XP. Mặc dù các chuyên gia anti-virus chưa phát hiện hành vi phá hoại nào của Sasser, việc restart máy tính nhiều lần cũng gây cản trở công việc, ảnh hưởng không nhỏ đến hoạt động kinh doanh của các công ty.

    Ngày 05-05-2004, phần mềm D32 tiến hành cập nhật virus Sasser.b.worm.W32.  Bộ phận kỹ thuật của D32 đã phát hiện virus này còn có mối liên hệ mã nguồn với Netsky.z và Netsky.ab, chứng tỏ tác giả Sasser đã kết hợp kỹ thuật của Blaster và Netsky. Trên cơ sở phân tích này, D32 (05-05-2004) đã tích hợp khả năng nhận dạng nhóm virus Sasser mới (có thể xuất hiện trong tương lai), tạm đặt tên là Sasser.vx.worm.W32.

    Sau khi chạy D32 (05-05-2004), người sử dụng cần download miếng vá của Microsoft ở địa chỉ http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.

    Trương Minh Nhật Quang

    ID: A0405_123