Hai virus mới kéo dài đợt bùng phát từ tháng 1

Đó là Mywife và Snapper, được đánh giá ở nguy cơ thấp, bắt đầu phát tán trên Internet từ hôm qua. Các công ty phần mềm an ninh cho biết virus thứ hai nguy hiểm hơn vì có cách tấn công giống như các biến thể Bagle xuất hiện tuần trước.

Mywife xuất hiện trong thư điện tử mang địa chỉ người gửi giả mạo với những dòng chủ đề rất chung chung nhưng đều liên quan đến nội dung đồi trụy như "very hot XXX" và "FW:RE: Hot Erotic.". Nội dung e-mail cũng rất khác nhau và một vài trong số đó còn có dạng hình ảnh đồ họa.

Theo phân tích của hãng phần mềm bảo mật Panda (Tây Ban Nha), trong e-mail có hai file đính kèm: một chỉ đơn giản là file đồ họa mang hình logo chương trình diệt virus Norton AntiVirus 2004 để lừa người nhận, khiến họ nghĩ rằng file còn lại đã được diệt virus. File thứ hai được nén và mang một số tên như Aprilgoostree, Parishilton, Rickymartin hoặc những câu nói tục tĩu bằng tiếng Anh. Bên trong file nén này lại chứa một file thứ ba có đuôi .exe hoặc .scr.

Phiên bản thứ hai của e-mail chứa Mywife đưa ra một báo động giả về virus, giả vờ là của hãng Symantec. Nó thông báo với người nhận máy tính của họ đã bị nhiễm Black Worm (một loại virus không có thật). Dạng e-mail này có file đính kèm mang tên Scan.tge hoặc Scan.zip.

Mã của virus Mywife có chứa một thông điệp chửi rủa nhắm vào Microsoft (không hiển thị lên màn hình): "microsoft do u hear me? we gon kick u ass an *** u down u got my word **Black Worm**.". Một khi đã xâm nhập vào hệ thống, Mywife sẽ gỡ bỏ các đăng ký (entry) trong Windows Registry của nhiều ứng dụng an ninh.

Trong khi đó, sâu Snapper lại có cách hoạt động giống như các biến thể của sâu Bagle xuất hiện tuần trước. Thay vì phụ thuộc vào việc người nhận mail có mở file đính kèm hay không, nó ẩn trong những e-mail trống rỗng với những địa chỉ người nhận bị giả mạo, bên trong đó có một loại mã tự động kích hoạt ngay khi e-mail được mở ra trên cửa sổ chính của Outlook. Mã này khiến cho máy host nội bộ tự động kết nối tới một máy chủ web ở xa tại địa chỉ 198.170.245.129 và cố gắng tải về một file có tên HTMLhelp.cgi.

Theo hãng Network Associates, cũng như Bagle.Q và một số biến thể sau đó, Snapper khai thác khiếm khuyết trong Internet Explorer để buộc máy tính nạn nhân tải file nói trên. File này sau đó sẽ kích hoạt một đoạn mã VB Script, có khả năng tạo ra và chạy một thư viện DLL (Dynamically Linked Library) trong thư mục Windows. Chương trình DLL này có tên IEload.dll với dung lượng 8.704 byte. Snapper sau đó tự sao chép vào tất cả các địa chỉ trong address book của người nhận. Tuy nhiên, file đồ họa .cgi (computer-generated imagery) thực ra không có trên máy chủ web ở xa kia, cho nên virus không có khả năng phát tán quá rộng.

Phan Khương (theo Ziff Davis)