• Thứ Năm, 06/11/2008 08:10 (GMT+7)

    Worm khai thác lỗ hổng trong Windows

    Hôm 3/11/2008, một số nhà nghiên cứu và công ty bảo mật cho biết worm khai thác lỗi mà Microsoft vá bằng bản cập nhật khẩn cấp 11 ngày trước đã xuất hiện trên mạng.

    Symantec đặt tên cho worm này là “Wecorl” trong khi Kaspersky Lab và Microsoft cùng sử dụng tên “MS08-067.g”. Theo ông Kevin Haley, giám đốc đội Security Response Team, có vẻ như worm có nguồn gốc từ Trung Quốc vì dường như mục tiêu tấn công của nó là HĐH Windows 2000 phiên bản tiếng Hoa. Ông Haley cũng xác nhận, Wecorl hoàn toàn khác với trojan chuyên ăn cắp thông tin đã khiến Microsoft đưa ra miếng vá bất thường hôm 23/10/2008.

    Một số nhà nghiên cứu bảo mật khác cho biết, sau khi lây nhiễm lên PC thì worm sẽ cài đặt thêm nhiều thành phần khác lên PC đó như trojan tải mã độc (downloader) và rootkit nhằm giúp nó tránh con mắt giám sát của các phần mềm bảo mật. Hãng bảo mật F-Secure (có trụ sở tại Helsinki, Phần Lan) đã xác định, Wecorl sẽ cài đặt thêm “Trojan-Dropper.Win32.Agent.yhi” và “Rootkit.Win32.KernelBot.dg”.

    Wecorl còn tự động tấn công mọi PC khác trong cùng một hệ thống mạng với PC bị lây nhiễm. “Nếu như Wecorl có thể vượt qua tường lửa thì nó sẽ có thể tấn công mọi PC khác”, ông Haley cho biết. Theo F-Secure và nhà nghiên cứu bảo mật Andrew Storms của nCircle Network Security Inc., Wecorl được phát triển dựa trên mã khai thác lỗi đã được tung lên mạng trong tuần trước.

    Trong bản tin cảnh báo bảo mật phát hành cách đây 2 tuần, Microsoft đã khẳng định, chỉ cần tường lửa đặt ở mức cấu hình chuẩn cũng đủ sức chống lại các vụ ấn công xuất phát từ bên ngoài mạng của doanh nghiệp. Symantec đánh giá Wecorl có mức nguy hiểm thấp nhưng người dùng được khuyến cáo nên nhanh chóng cài đặt bản cập nhật MS08-067 càng sớm càng tốt.

    Bạch Đình Vinh
    Theo Computerworld, 3/11/2008

    ID: O0811_1