NetSky tiếp tục nhân bản

Hôm nay, virus NetSky-V phát tán e-mail mang các đoạn mã trong nội dung thư để thi hành việc download và chạy một file trên máy ở xa. Từ đó, hacker có thể khống chế máy bị nhiễm.

Theo phân tích của các hãng phần mềm an ninh Trend Micro và Sophos, Netsky-V tự động chui vào trong thư mục Windows với cái tên KasperskyAVEng.exe và chèn thêm entry sau đây vào phần registry của hệ thống:

HKLM\Software\Microsoft\Windows\CurrentVersion
\Run\KasperskyAVEng = KasperskyAVEng.exe.

Sau đó, khi người sử dụng truy cập vào hệ thống, virus sẽ tự động kích hoạt. Loại sâu này mở cổng hậu 5557 và 5558 của giao thức TCP của máy bị nhiễm.

Các biện pháp phòng chống vẫn như thường lệ là không nên mở những thư điện tử không rõ người gửi, chủ đề mang nội dung chung chung. Đặc biệt, các tổ chức, cơ quan có hệ thống mail điện tử thì nên phong tỏa, không cho nhận, gửi thư mang file đính kèm có đuôi pif, scr, com và đóng các cổng dịch vụ không cần thiết. Xoá file KasperskyAVEng.exe trong thư mục Windows cũng như entry do virus đưa vào registry nói trên. Sử dụng các chương trình diệt virus mới nhất để quét hệ thống. Một phần mềm quét virus miễn phí được Trend Micro cung cấp tại địa chỉ http://housecall.trendmicro.com/.

Tại Việt Nam, Trung tâm an ninh mạng BKIS lại vừa công bố một biến thể khác từ phiên bản P của họ NetSky. Các chuyên viên tại đây đặt tên cho biến thể này là SkyNet.PN, một virus khai thác những khiếm khuyết trong hai phiên bản 5.01 và 5.5 của trình duyệt web Internet Explorer (Tải bản sửa lỗi bằng cách bấm vào một trong hai tên phiên bản trên).

Theo Nguyễn Tử Quảng, Giám đốc BKIS, trong mấy ngày qua, đặc biệt là ngày 12/4, lượng e-mail mag virus tăng đột biến và nguyên nhân chủ yếu vẫn là một số biến thể của họ NetSky, trong đó có phiên bản T và PN nói trên. Ông Quảng cho rằng số lượng thư tăng bất ngờ có thể là do nguồn phát tán virus đã cập nhật một mailing list mới. Để xử lý virus SkyNet.PN, bạn có thể tải phiên bản BKAV 512 tại đây.

Phan Khương