Virus mới tấn công máy tính nhiễm Sasser

Những PC từng bị nhiễm loại sâu nói trên có thể trở thành mục tiêu của một chương trình phá hoại mới có tên Dabber. Theo Joe Stewart, chuyên gia của hãng Lurhq, Dabber bắt đầu lây lan vào máy tính chạy Windows từ hôm qua, tuy nhiên chưa gây ra những tác động lớn.

“Đây không phải là một nguy cơ ghê gớm đối với những ai thường xuyên quan tâm đến việc nâng cấp và bảo vệ hệ thống của mình”, Steward cho biết. “Nếu máy tính của bạn bị nhiễm Dabber thì rất có thể cũng đã nhiễm Sasser và Agobot”.

Dabber không phải là virus đầu tiên khai thác cổng hậu trên các máy tính nạn nhân mà một số loại sâu Internet trước đó để lại. Trước đây, hai loại Doomjuice và Deadhat cũng đã tấn công những hệ thống nhiễm Mydoom. Tuy nhiên, Dabber lại là virus đầu tiên sử dụng khiếm khuyết trong chính những chương trình tấn công xuất hiện trước đó trên hệ thống. Trong trường hợp này, server giao thức truyền file (FTP) mà Sasser cài vào máy để cho phép nó tự sao chép sang những máy chủ (host) khác có một khiếm khuyết gây tràn bộ đệm. Dabber dùng chính lỗ hổng an ninh đó để phát tán sang những máy khác.

Dabber sử dụng cổng 5554 để quét Internet và tìm những PC Windows mục tiêu. Nó không phải là virus lây lan qua e-mail và xâm nhập khi file đính kèm được mở ra. Chỉ cần máy tính bị nhiễm Sasser kết nối Internet là có khả năng bị Dabber tấn công.

Một khi đã lây sang PC mới, Dabber sẽ thay đổi cài đặt hệ thống để hệ điều hành kích hoạt chương trình phá hoại này mỗi khi khởi động. Nó dùng công cụ FTP nói trên để truyền một file "package.exe" vào thư mục Windows. Virus cũng cố gắng phong tỏa hoạt động của những loại sâu khác tồn tại trong máy, trong đó có Sasser. Cuối cùng, Dabber sẽ thiết lập một back door tại cổng 9898 để cho phép những hacker khác có thể khống chế hệ thống từ xa.

Phan Khương (theo CNet, InfoWorld)