Hãng bảo mật Facetime cảnh báo loại sâu W32/Sdbot-ADD đang lây lan rất nhanh trong khối người sử dụng dịch vụ IM của AOL và nguy hiểm hơn nhiều so với các nhận định trước đây.
Được Facetime phát hiện lần đầu tiên hồi tháng 10, sâu W32 tự động cài đặt một rootkit (file lockx.exe) sâu bên trong ổ cứng của các máy tính bị lây nhiễm, cho phép một nhóm hacker tít tận... Trung Đông có thể giành lấy quyền kiểm soát hệ thống. Một khi PC đã rơi vào tay chúng, nhóm hacker này sẽ cài đặt thêm những đoạn mã phần mềm gián điệp, có khả năng đánh cắp thông tin cá nhân của người dùng.
Theo Facetime, ít nhất đã có hàng chục ngàn máy tính bị nhiễm sâu W32. Giờ đây, chúng cũng giống như các mạng botnet lớn, bị bọn hacker lợi dụng để tiến hành những vụ tấn công từ chối dịch vụ nhằm vào một số website nhất định.
Giám đốc điều hành của Facetime cho biết hãng đã phát hành một công cụ quét cho phép phát hiện và vô hiệu hóa bộ rootkit lockx.exe nói trên.
Cơ chế phá hoại của W32
Sâu W32 tấn công thông qua đường Instant Message của AOL, giả dạng một cái tên trong danh sách contact để yêu cầu người dùng mở một đường link kèm theo. Hiển nhiên, người tiêu dùng bị mắc lừa dễ dàng. Chỉ cần click vào link này, một loạt các phần mềm adware và rootkit lockx.exe sẽ tự động trút như mưa vào máy.
Ngay khi hạ cánh xuống máy tính, việc đầu tiên phần mềm phá hoại malware thực hiện là đóng ngay các chương trình diệt virus, đồng thời cài đặt những phần mềm cho phép hacker điều khiển từ xa máy tính bằng IRC.
Theo nghiên cứu mới nhất của Facetime thì lockx.exe hoạt động rất tích cực trong việc "mở cửa hậu" để hacker cài đặt thêm các phần mềm phá hoại khác. Những malware này có thể đánh cắp tên người dùng, mật khẩu cùng nhiều thông tin nhạy cảm. Nguy hiểm nhất trong số này là ster.exe, cho phép kẻ tấn công upload, download và giám sát chặt chẽ chiếc máy tính nhiễm sâu. Một số file khác lại cho phép chúng ăn trộm mật khẩu Outlook Express, cài phần mềm theo dõi bàn phím, thu thập địa chỉ email lưu trong máy, phát tán thư rác và tấn công từ chối dịch vụ.
Theo Facetime thì nhiều khả năng đứng đằng sau W32 chính là một nhóm hacker tại Trung Đông. Nhóm này đã tấn công hàng loạt máy chủ tại rất nhiều nước trên thế giới để phát tán những malware mới.