NetSky.S và T đổi kiểu tấn công

Những biến thể mới xuất hiện liên tiếp trong hai ngày 5-6/4, nối dài chuỗi virus thuộc họ này lên 20 phiên bản. Việc cả hai đều có đặc điểm là mở cổng hậu trên máy mục tiêu khiến các nhà phân tích cho rằng đây có thể là “tác phẩm” một hacker khác.

Craig Schmugar, Giám đốc Trung tâm McAfee của Network Associates, cho biết họ xếp NetSky.S vào loại nguy cơ trung bình sau khi ghi nhận khoảng 300 bản sao khác nhau của virus mà khách hàng gửi về. Trong khi đó, phiên bản T lại rất ít xuất hiện. Network Associates và Sophos mới chỉ phát hiện một vài bản sao của biến thể này.

Symantec cho biết giống như những phiên bản trước, hai virus mới tập trung khai thác những máy tính chạy Windows. Chúng xuất hiện trong những file đính kèm e-mail, được giả mạo địa chỉ người gửi và mang những dòng chủ đề chung chung như "Re: My details" "Request" và "Thank You!".

Điểm khác biệt đáng chú ý lần này là virus mới có tính năng mở back door trên cổng TCP 6789 trong hệ thống mục tiêu để mở đường cho hacker từ xa khống chế máy tính. Trong mã sâu chỉ có một thông điệp giải thích việc mở cổng hậu và cài đặt Trojan từ xa chứ không có một lời chỉ trích nào hướng về sâu Bagle như những biến thể NetSky trước. Những phiên bản trước đây của nó thường săn lùng và tiêu diệt Bagle, một loại sâu chuyên mở những cổng hậu này. Trong cuộc đối đầu với Bagle, tác giả của NetSky tự tuyên bố là “những người tốt”, mang sứ mệnh chống tội phạm điện tử và tin tặc.

Sự xuất hiện của NetSky.S và với những đặc điểm trên khiến người ta nghĩ rằng tác giả đầu tiên của virus đã làm đúng như tuyên bố trong phiên bản K rằng mã sâu sẽ được phát tán trên Internet. Các chuyên gia an ninh thì nhận định sự xuất hiện của hai virus mới manh nha cho thấy những dấu hiệu của dạng tấn công từ chối dịch vụ (DDoS) mà sâu NetSky có thể gây ra. Tuy nhiên, đến nay, chưa công ty nào phát hiện thấy một bản sao mã của nó bị phát tán.

Phan Khương (theo InfoWorld)