Sâu mới tấn công người dùng Yahoo Messenger

Hãng bảo mật Bitdefender vừa công bố một loại sâu mới mang tên Worm.Sohanat.Z lây nhiễm qua trình tin nhắn đa phương tiện Yahoo Messenger bằng cách dẫn dụ người dùng nhấn vào các liên kết. Worm.Sohanat.Z là một biến thể thứ 26 của họ sâu Sohanat. Khi máy tính bị lây nhiễm thì sẽ có các ...

Hãng bảo mật Bitdefender vừa công bố một loại sâu mới mang tên Worm.Sohanat.Z lây nhiễm qua trình tin nhắn đa phương tiện Yahoo Messenger bằng cách dẫn dụ người dùng nhấn vào các liên kết.

Worm.Sohanat.Z là một biến thể thứ 26 của họ sâu Sohanat. Khi máy tính bị lây nhiễm thì sẽ có các triệu chứng sau:

- Trang chủ của trình duyệt Internet Explorer sẽ là địa chỉ website có cài virus và nạn nhân sẽ không thể thay đổi trang chủ vì sâu đã khóa chức năng này. Tham khảo tại khóa:

"HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainHome page"

- Task Manager, Regedit và hộp thoại Run trong trình đơn Start cũng bị khóa

- Tự động gởi đi liên kết lây nhiễm đến mọi người trong danh sách địa chỉ Yahoo Messenger của nạn nhân. Chúng sẽ rất khéo léo để dẫn dụ nạn nhân nhấn vào liên kết để tự nhân bản. Quá trình này bạn sẽ không thể nào biết được trừ khi có phản hồi của người đã bị lây nhiễm từ liên kết mà virus tự gởi đi.

Ngoài ra, sâu còn dò tìm tập tin Bitdefender.exe xem nó có hiện diện trong thư mục Windows hay không. Nếu không, nó sẽ tải về một bản sao chép và đặt trong thư mục %WINDIR%. Worm.Sohanat.Z cũng muốn chắc rằng nó sẽ được tự động kích hoạt khi khởi động Windows bằng cách hiệu chỉnh khóa giá trị trong registry: "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunTask Manager"

Người dùng Yahoo Messenger cần cảnh giác hơn với các liên kết được gởi từ danh sách liên hệ.

Các khóa giá trị sau trong registry sẽ bị sâu hiệu chỉnh:

- 4 khóa bị thay đổi thành liên kết chứa sâu:

"HKEY_CURRENT_USERSoftwareMicrosoftSearch AssistantDefaultSearchURL"
"HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainSearch Page"
"HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainSearch Bar"
"HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearchUrl"

- 3 khóa giá trị bị thay đổi thành 1 (khóa).

"HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNTSystemRestoreDisableConfig"
"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskMgr"
"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools"

- Giá trị bị đổi thành 0 để khóa các thiết lập sau:

"HKEY_CURRENT_USERSoftwareGoogleGoogleToolbarNotifierShowTrayIcon"
"HKEY_CURRENT_USERSoftwareGoogleGoogleToolbarNotifierKeepDS"
"HKEY_CURRENT_USERSoftwareGoogleGoogleToolbarNotifierShowTrayIcon"

- Chức năng hỗ trợ tìm kiếm cũng bị khóa tại giá trị:

"HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainUse Search Asst"

"Mánh khóe của loại sâu này là giả dạng một thành phần có liên quan đến phần mềm bảo mật được tin tưởng. Nó khai thác sai lầm của người dùng trước rồi mới tới việc tận dụng lỗi của công nghệ", theo Mihai Cimpoesu, chuyên viên nghiên cứu virus tại Bitdefender cho biết.

Bitdefender khuyến cáo người dùng nên cập nhật cơ sở dữ liệu mới nhất cho trình anti-virus của mình thì sẽ ngăn chặn và diệt được loại sâu này.

Thanh Trực
0