• Thứ Năm, 17/11/2005 08:02 (GMT+7)

    Hãy cẩn thận với các biến thể của sâu Sober

    Hôm 15/11/2005, các công ty chống virus cảnh báo, nhiều biến thể của sâu Sober đang lưu hành trên mạng và có thể ảnh hưởng tới các máy tính chạy HĐH Windows. Tuy vậy chúng có độ nguy hiẻm thấp và không lây lan rộng

    Cả Kaspersky Lab và Symantec đều đã phát hiện ra các biến thể của cùng một loại sâu mà Kaspersky gọi là E-mail-Worm.Win32.Sober và Symantec gọi là W32.Sober.S@mm.

    Kaspersky, nhà sản xuất có trụ sở tại Moscow (LB Nga) cho biết, các biến thể này đều là những biến đổi của cùng một chương trình. Sâu này được đính kèm và phát tán qua con đường thư rác (spam) nên phần lớn các biến thể của sâu đã bị chặn đứng khi những “e-mail gây bệnh” này lưu chuyển trên mạng.

    Những e-mail này có thể không có dòng tiêu đề hoặc nội dung nhưng có thể xác định qua tên file đính kèm. Thông thường, các file đính kèm này là: Exceltab-packed_list.exe; Liste.zip; Reg-List-Dat_Packer2.exe; reg_text.zip; Word-Text.zip; Word-Text_packedList.exe; Word-Text_packedList.zip.

    Khi người dùng nhấn vào file đính kèm thì sâu sẽ được kích hoạt, một thông báo lỗi với nội dung "WinZip Self-Extractor. WinZip_Data_Module is missing ~Error" hiện ra. Sâu (hay biến thể của nó) sẽ tự sao chép vào thư mục hệ thống Windows, rồi đăng kí file với registry hệ thống nên mỗi khi người dùng khởi động Windows, sâu sẽ lại được kích hoạt.

    Symantec cho biết thêm, sâu sử dụng engine SMTP (Simple Mail Transfer Protocol) của riêng nó để phát tán. Những thư rác mà sâu tạo ra thường được viết bằng tiếng Anh hoặc Đức. Việc gửi đi quá nhiều thư rác chứa sâu có thể làm tắc nghẽn máy chủ thư (mail server) hoặc làm giảm hiệu năng mạng. Ngời dùng có thể tìm thấy những hướng dẫn cách diệt sâu tại địa chỉ website của Symantec.

    Các công ty chống virus khuyên người dùng nên thận trọng khi mở file đính kèm.


    Bạch Đình Vinh (IDG News Service, 15/11/2005)

    ID: O0511_1