Bảng chữ cái sắp hết chỗ đặt tên cho Bagle

Trong hai ngày qua, 4 biến thể khác của sâu e-mail này đã xuất hiện với một phương thức tấn công mới. Bagle.Q, R, S và T khai thác một khiếm khuyết ActiveX phát hiện hồi tháng 8 năm ngoái, tự động upload và chạy chương trình trên máy nạn nhân mà không cần người sử dụng mở bất kỳ một file nào.

Tính năng này của virus đặt ra một nguy cơ mới đối với những người sử dụng Windows chưa nâng cấp hệ điều hành bằng bản vá lỗi mà Microsoft đã cung cấp trong thông báo an ninh MS03-032 tháng 8/2003. Lỗ hổng mà Bagle khai thác nằm trong Internet Explorer Object Data Remote Execution. Đây là khiếm khuyết liên quan đến phương thức mà trình duyệt web của Microsoft phiên dịch dữ liệu HTTP.

Theo Oliver Friedrichs, Giám đốc trung tâm phản ứng nhanh của Symantec (Mỹ), những phiên bản này bổ sung vào bộ công cụ tấn công của Bagle một cơ chế lây lan cho phép sâu xâm nhập hệ thống ngay khi người nhận e-mail mới mở thư chứ chưa cần mở file đính kèm. Việc không dùng attachment cho phép chúng dễ dàng vượt qua các công cụ an ninh và khiến cho công việc đối phó của các chuyên gia chống virus trở nên khó khăn hơn. Graham Cluley, chuyên gia công nghệ của Sophos (Anh), nhận xét: “Virus mới rất nguy hiểm khi mà người nhận thư mới chỉ mở mail thì sâu đã xâm nhập”. Những phiên bản Bagle trước đều nấp trong file đính kèm dạng .ZIP, .EXE hay .SCR. Do đó, các công cụ phòng vệ của hệ thống có thể quét những e-mail gửi đến có phần attachment và xác định được virus theo tên đuôi file, kích cỡ và một số đặc điểm khác.

Giống những biến thể trước, Bagle mới xuất hiện trong những thông điệp e-mail với tiêu đề chung chung như "Re: Hello", "Incoming message", "Site changes" và "Re: Hi". Trong nhóm này, bản Q là loại phát tán mạnh nhất và được hãng F-Secure (Phần Lan) xếp vào nguy cơ cấp 2, tức là mức lây lan nhiều trong một vùng nhất định. Hiện nay đã xác định được Bagle.Q ở trên 20 nước, trong đó Hàn Quốc là nơi có số máy bị tấn công cao nhất.

Theo phân tích của F-Secure, khi người nhận xem mail trên một máy tính chưa nâng cấp, bức thư mang Bagle sẽ tải một đoạn script với đuôi PHP từ một trong các máy chủ web mà tác giả của nó đã xác định trước (đóng vai trò hỗ trợ việc download mã tấn công). Sau khi download xong, script này bắt đầu chạy và tải tiếp file thực sự chứa sâu. Mikko Hypponen, Giám đốc F-Secure, cho biết, họ đã lập tức gửi địa chỉ IP của tất cả các server chứa file virus này tới nhà chức trách để phong tỏa. Rất nhiều trong số này hiện đã bị cô lập khỏi mạng.

Hypponen cho rằng rõ ràng hacker đang tiếp tục thử nghiệm một phương thức khác để đánh lừa các sản phẩm an ninh. Sự tiến hóa của Bagle diễn ra rất nhanh chỉ trong mấy tuần qua, bắt đầu từ những file đính kèm thông thường, rồi chuyển sang file ZIP, tiếp đó là những file ZIP mã hóa được bảo vệ bằng password, rồi password lại được giấu trong hình ảnh và đến nay là thủ đoạn này.

Với sự bổ sung 4 biến thể mới, đại gia đình Bagle (Symantec gọi là Beagle), hiện đã có “dân số” lên đến 20 phiên bản. Trong gần một tháng qua, những lời chỉ trích lẫn nhau được các tác giả virus viết trong mã sâu khiến giới nghiên cứu an ninh mạng tin rằng Bagle cùng với NetSky đã được một phe tin tặc sử dụng để cạnh tranh với sâu Mydoom trong một cuộc chiến ngầm nhằm giành quyền không chế số lượng lớn PC cá nhân kết nối Internet trên thế giới.

Tại Việt Nam, theo ghi nhận của Trung tâm an ninh mạng BKIS, họ virus Bagle vẫn tiếp tục lây lan với tốc độ 2 e-mail/phút (thuộc loại nguy cơ trung bình). Ông Nguyễn Tử Quảng, Giám đốc trung tâm, cho biết, chưa phát hiện thấy 4 biến thể mới ở Việt Nam nhưng kiểu virus có cách hoạt động như nhóm này thì đã từng xuất hiện trước đây. Theo ông Quảng, người gửi nhận e-mail bằng Microsoft Outlook nên sử dụng phiên bản 6.0 của công cụ này là an toàn nhất.

Các công ty an ninh quốc tế khuyến cáo người sử dụng nâng cấp công cụ diệt virus để khắc chế 4 bản Bagle mới và khẩn trương áp dụng phần mềm vá lỗi cho khiếm khuyết Windows nói trên.

Tải bản nâng cấp cho lỗ hổng Internet Explorer ở đây:

- Internet Explorer 6 SP1.

- Internet Explorer 6 SP1 của Windows XP SP1 64-bit Edition.

- Internet Explorer 6 của Windows XP.

- Internet Explorer 5.5 SP2.

- Internet Explorer 5.01 của Windows 2000 SP3 và Windows 2000 SP4.

Phan Khương