Virus mới tấn công tường lửa và phá hủy dữ liệu

Một loại sâu máy tính có tên Witty, xuất hiện trên Internet từ hôm 20/3, đang nhạo báng vai trò phòng vệ hệ thống của các sản phẩm an ninh BlackIce và RealSecure do hãng ISS (Mỹ) cung cấp.  

Loại sâu này chỉ lưu trú trong bộ nhớ và phát tán qua cổng UDP 400 (và có thể là một số cổng khác nữa). Trong quá trình tự nhân bản, nó viết đè dữ liệu lên ổ cứng cục bộ và có thể làm cho máy tính không thể khởi động sau khi làm hỏng bảng khởi động chính (master boot record), bảng phân vùng dữ liệu (partition table) hoặc bảng phân bổ file.

Đến cuối ngày thứ bảy tuần qua, Witty đã xâm nhập khoảng 50.000 máy tính. Nhưng cũng vì nó có tính phá hủy cao nên các chuyên gia an ninh cho rằng chưa chắc nó đã có thể phát tán với tốc độ như vậy trong thời gian kéo dài. Sở dĩ người ta đặt tên Witty (trong tiếng Anh có nghĩa là hóm hỉnh) cho loại sâu này là vì những thông điệp có nội dung rất ngộ nghĩnh mà tác giả virus đã tạo ra trong những gói dữ liệu mà nó phát đi.

Witty tạo ra một địa chỉ IP ngẫu nhiên và gửi bản sao của nó qua UDP tới một cổng ngẫu nhiên khác. Sau khoảng 20.000 lần thực hiện điều này, nó sẽ ghi 65 K dữ liệu vào ổ đĩa cứng và sau đó lặp lại quá trình nói trên. Vì chu trình này diễn ra nhanh, cho nên thiệt hại rất lớn đã có thể xảy ra trước khi một máy tính bị nhiễm sâu phát ra những tín hiệu rối loạn. Việc khởi động lại có thể giúp tiêu diệt được Witty, nhưng điều này cũng khó có thể thực hiện được nếu những gì mà Witty gây ra trước đó đã quá nặng để hệ thống có thể khởi động lại.

Virus mới còn khai thác một khiếm khuyết gây tràn bộ nhớ đệm trong công cụ phân tách dữ liệu ở ISS ICQ có tên PAM (Protocol Analysis Module) (Lưu ý: Đây không phải là bộ phận khá phổ biến Pluggable Authentication Module. PAM này hoàn toàn không bị ảnh hưởng).

Trên thực tế, có thể khôi phục dữ liệu từ một đĩa không thể khởi động. Tuy nhiên, phần đông người sử dụng ở gia đình không biết cách thực hiện điều này và do đó họ buộc phải cài lại hệ thống và hy sinh dữ liệu.

Những người sử dụng có kinh nghiệm và dân chuyên nghiệp có thể khôi phục ít nhất một phần đáng kể đĩa bị tổn hại. Tất nhiên, những dữ liệu đã bị viết đè thì sẽ vĩnh viễn không thể cứu vãn. Điều đáng nói nhất ở đây chính là việc Witty có thể gây ra thiệt hại liên tục do nó thực hiện tấn công đĩa lặp đi lặp lại cho đến khi bị “tóm”. Tuy nhiên, vì loại sâu này chỉ lưu trú trong bộ nhớ và không bao giờ sao chép chính nó vào đĩa cho nên nhiều công cụ chống virus hàng đầu hiện nay cũng có thể không phát hiện ra.

Khôi phục dữ liệu từ một đĩa không thể khởi động là một công việc rất tốn thời gian và phức tạp. Tuy nhiên, người kinh nghiệm có thể sử dụng những tiện ích trên DOS như DiskEdit, cho phép duyệt, sao chép và dán dữ liệu, hoặc tốt hơn có thể dùng tiện ích Linux DD Rescue, cho phép copy toàn bộ nội dung đĩa vào một đĩa khác mà không bị ảnh hưởng bởi các lỗi vào ra I/O (Input-Ouput).

Dưới đây là những phiên bản tường lửa mà ISS cảnh báo có khả năng bị khai thác:

BlackICE Agent cho Server 3.6 ebz, ecd, ece, ecf.
BlackICE PC Protection 3.6 cbz, ccd, ccf.
BlackICE Server Protection 3.6 cbz, ccd, ccf.
RealSecure Network 7.0, XPU 22.4 và 22.10.
RealSecure Server Sensor 7.0 XPU 22.4 và 22.10.
RealSecure Desktop 7.0 ebf, ebj, ebk, ebl.
RealSecure Desktop 3.6 ebz, ecd, ece, ecf.
RealSecure Guard 3.6 ebz, ecd, ece, ecf.
RealSecure Sentry 3.6 ebz, ecd, ece, ecf.

Bản nâng cấp cho các hệ thống tường lửa này được cung cấp tại trang download của ISS.

Phan Khương (theo The Register)