Đã có hơn 10 biến thể Mytob tại Việt Nam

Trung tâm an ninh mạng Đại học Bách Khoa Hà Nội (BKIS) khẳng định sự ảnh hưởng của Mytob chưa thực sự nghiêm trọng đối với các PC ở Việt Nam. Tuy nhiên, người sử dụng cần cảnh giác cao với họ virus này vì các biến thể Mytob mới vẫn tiếp tục ra đời.

"Rất có thể một trong số các virus Mytob mới sẽ gây ra thiệt hại nặng nề khi nó cố gắng phá huỷ dữ liệu trên những máy tính mà nó lây nhiễm, sau khi đã di chuyển an toàn sang những mục tiêu khác", ông Vũ Ngọc Sơn, Trưởng phòng Virus Trung tâm BKIS, cảnh báo.

Virus họ W32.Mytob đầu tiên xuất hiện trên thế giới được phát hiện vào cuối tháng 3. Từ đó tới nay, các biến thể mới của loại sâu này liên tục ra đời và chúng nhanh chóng trở thành một trong những họ virus lây lan nhiều nhất thế giới trong thời gian vừa qua. Tại Việt Nam, BKIS khẳng định W32.Mytob xuất hiện vào khoảng đầu tháng 4 và hiện đã có sự góp mặt của hơn 10 biến thể.

Ông Vũ Ngọc Sơn cho biết: "Các virus Mytob có khả năng lây lan theo hai con đường là qua lỗi tràn bộ đệm của dịch vụ LSASS (Local Security Authority Subsystem Service) trên hệ điều hành Windows 2000, Windows XP (Microsoft Security Bulletin MS04-011), giống như Sasser trước đây, và lây lan qua thư điện tử như các loại sâu thông thường khác".

Đặc điểm chung của virus họ Mytob là khi lây vào một máy tính, chúng sẽ tự động tìm địa chỉ e-mail có chứa trong các file .adb, .asp, .dbx, .htm, .php, .sht, .tbb ,.txt, .wab… để gửi thư giả mạo có kèm chính nó tới những địa chỉ này. Ngoài ra, để lẩn trốn các công cụ diệt virus trên thế giới, Mytob sẽ không gửi thư tới địa chỉ e-mail nó tìm thấy có domain của những hãng này và ngăn không cho người sử dụng truy cập đến website của các hãng đó.

Cùng với việc gửi e-mail có chứa virus, Mytob cũng quét trên mạng để tìm ra máy tính có lỗi tràn bộ đệm nhằm thực hiện việc lây lan từ xa. Sau đó, Mytob còn tạo ra các cổng hậu (backdoor) trên máy tính nạn nhân bằng cách kết nối tới một kênh đã được những kẻ viết ra virus chỉ định sẵn tại một IRC Server trên thế giới, cho phép những kẻ tấn công này có thể ra lệnh điều khiển và kiểm soát máy tính của nạn nhân từ xa.

"Sự khác biệt chủ yếu giữa Mytob thế hệ trước và thế hệ sau là biến thể mới sẽ sử dụng kỹ thuật mã hoá đoạn mã thực thi ngày càng tinh vi hơn nhằm tránh sự phát hiện của các phần mềm diệt virus cũng như tăng tốc độ lây lan", Trưởng phòng Virus của BKIS mô tả. "Ngoài ra, mỗi biến thể mới của Mytob lại sử dụng một IRC Server và cổng hậu cũng có chức năng khác với 'đời' trước nên việc kiểm soát các virus họ Mytob trở nên khó khăn hơn so với các họ sâu máy tính khác".

Theo ông Vũ Ngọc Sơn, để phòng chống Mytob, người sử dụng máy tính có thể tải về và cài bản bản sửa lỗi dịch vụ LSASS cho hệ điều hành Windows 2000 và XP tại đây hoặc tại website của BKIS.

Chuyên gia BKIS cũng khuyến cáo không nên chạy trực tiếp các file đính kèm khi nhận một bức thư lạ. Nếu sử dụng Bkav2005 Home Edition, hãy bật chức năng tự cảnh báo của Bkav để chương trình này có thể tự động diệt các virus khi phát hiện chúng xâm nhập vào máy tính.

Nguyễn Hằng