Thêm một sâu máy tính lợi dụng lỗi MS06-040

Ngày hôm qua, Symatec cảnh báo đã có thêm một con sâu máy tính mới nhắm mục tiêu khai thác lỗi bảo mật MS06-040 xuất hiện trên mạng Internet.

Loại sâu máy tính mới - được đặt tên là "Randex.gel" - thuộc dòng sâu máy tính “network-ware”. Loại sâu network-ware là loại sâu có thể được điều khiển từ xa thông qua các kênh IRC (Internet Rely Chat) và tự động quét mạng nội bộ để lây nhiễm. Chính vì thế chức năng chính của con sâu Randex.gel là mở một cổng sau (back door) trên các hệ thống bị nhiễm để chờ đợi lệnh điều khiển từ “chủ nhân” của chúng thông qua kênh IRC.

Oliver Friedrichs – giám đốc phụ trách nhóm phản ứng bảo mật của Symantec - nhận định đây có thể là một biến thể của dòng sâu Randex. Điểm khác biệt duy nhất với dòng sâu máy tính đó là Randex.gel có khả năng khai thác lỗi bảo mật MS06-040.

Các biến thể trước đây của dòng sâu Randex nhắm mục tiêu khác thác lỗi bảo mật trong Windows như MS04-007, MS05-017, và MS05-039 - những lỗi này đã được Microsoft khắc phục.

Friedrichs nhận định đoạn mã đóng vai trò khai thác lỗi bảo mật chủ yếu trong sâu Randex.gel rất khác biệt với các biến thể khác. Trên thực tế đoạn mã này rất giống với đoạn mã của chuyên gia nghiên cứu bảo mật HD Moore phát hành hai tuần trước đây.

Symantec cho biết thể sâu Randex có thể phát tán bằng rất rất nhiều cách khác nhau như thông qua MSN Messenger, AOL Instant Messenger, Yahoo Messenger, và ICQ. Sâu Randex.gel cũng có thể phát tán thông qua máy chủ Microsoft SQL. Nếu sâu Randex.gel tìm thấy một máy chủ SQL, nó sẽ ngay lập tức lây nhiễm vào mọi cơ sở dữ liệu nằm trên máy chủ đó.

Một chức năng khác của con sâu Randex.gel là ăn cắp thông tin tài khoản cá nhân của người dùng dịch vụ thanh toán điện tử eGold khi người dùng đăng nhập vào trang web egold.com.

Mặc dù có nhiều chức năng độc hại như vậy nhưng sâu Randex.gel cũng không thể gây thiệt hại nhiều vì Microsoft đã phát hành bản cập nhật vá lỗi bảo mật nói trên.

Hoàng Dũng