An ninh mạng tháng 6 – những diễn biến đáng lưu tâm
Virus Kavo “đại náo” các máy tính, hệ thống máy chủ của các Công ty hosting - đích nhắm mới của virus W32.Dashfer, nguy cơ bị mất tiền khi chơi game online… chính là những hiện tượng gây nguy hiểm cho các cư dân mạng trong tháng 6, cảnh báo của Bkis.
Mô hình phá hoại của Dashfer tại vùng máy chủ Web
Virus phát triển mạnh
Đã có 2.675 dòng virus máy tính mới xuất hiện tại Việt Nam trong tháng 06, trong đó 2.670 dòng có xuất xứ từ nước ngoài và 05 có xuất xứ từ Việt Nam. Các virus này đã lây nhiễm trên 5.462.000 lượt máy tính. Virus lây nhiều nhất trong tháng là W32.SecretW.Worm đã lây nhiễm trên 101.000 máy tính.
Tháng qua, đã có 59 website của các cơ quan quan trọng tại Việt Nam bị hacker tấn công, trong đó có 35 trường hợp gây ra bởi hacker trong nước, 24 trường hợp do hacker nước ngoài. Ngoài ra, Bkis đã phát hiện lỗ hổng nghiêm trọng tại website của 30 cơ quan thuộc ngành viễn thông, ngân hàng, chứng khoán …
Danh sách 10 virus lây nhiều nhất trong tháng:
STT Tên virus 1 W32.SecretW.Worm 2 W32.ZangoB.Worm 3 W32.GamesOnHMDll9.Trojan 4 W32.SeekmoSA.Adware 5 W32.EncryptVBS.Worm 6 W32.SecretQ.Worm 7 W32.VetorL.PE 8 W32.ZhaouCam.Trojan 9 W32.CinmusXP.Trojan 10 W32.GamesOnSBDll1.Trojan
Trên 1,2 triệu máy tính bị nhiễm virus Kavo
1.256.000 máy tính tại Việt Nam đã bị nhiễm virus W32.Kavo (virus có xuất xứ từ Trung Quốc) và các biến thể của loại virus này trong tháng 06/2008. Kết quả thống kê từ hệ thống giám sát virus của Bkis cũng cho thấy, đã có tới 639 biến thể mới của virus W32.Kavo xuất hiện trong tháng 06/2008, trung bình 21,3 biến thể mỗi ngày, đây là một kỷ lục mới tốc độ biến thể của một virus.
Xuất hiện từ ngày 11/09/2007, đến nay đã có 3.191 biến thể của W32.Kavo liên tục được phát tán lên mạng. Các máy tính khi bị nhiễm loại mã độc này không những bị chiếm quyền điều khiển, bị mất mát thông tin cá nhân, không thể hiển thị được cái file có thuộc tính ẩn, mà còn không thể sử dụng được chương trình chat Yahoo!Messenger.
Virus W32.Kavo sử dụng kỹ thuật Hook Message (kỹ thuật chặn thông điệp của hệ thống) để được nạp vào bộ nhớ của tất cả các tiến trình có giao diện GUI (Graphical User Interface) đang được thực thi trên máy tính. Với cách này, Kavo có thể “lùng sục” trong bộ nhớ của các tiến trình để dò tìm mật khẩu tài khoản của người sử dụng. Tuy nhiên, do mắc một lỗi trong lập trình, nên khi Kavo can thiệp vào bộ nhớ của Yahoo!Messenger, mã lệnh của virus tự sinh ra lỗi truy xuất bộ nhớ (memory exception) kéo theo đổ vỡ toàn bộ tiến trình này. Đây chính là nguyên nhân của hiện tượng mà rất nhiều người sử dụng Yahoo!Messenger tại Việt Nam đã gặp phải trong thời gian qua: Mỗi khi người sử dụng đăng nhập (sign in) vào Yahoo!Messenger, phần mềm này sẽ tự động bị kết thúc (crash).
Để khắc phục hiện tượng trên, người sử dụng có thể tải Bkav mới nhất từ địa chỉ
www.bkav.com.vn.
Hệ thống máy chủ của các Công ty hosting, đích nhắm mới của virus W32.Dashfer
Tuy không còn có mặt trong Top 5 virus lây nhiều nhất trong tháng (lần đầu tiên kể từ tháng 12/2007) nhưng virus W32.Dashfer (dòng virus chèn banner có xuất xứ từ Trung Quốc) vẫn tiếp tục là mối nguy hiểm hàng đầu đối với người sử dụng máy tính tại Việt Nam. Trong tháng qua, theo thống kê của chúng tôi thì hàng loạt Server tại các công ty hosting của Việt Nam đã gặp sự cố do loại virus này gây ra. Người sử dụng khi truy cập vào bất kỳ Server nào tại các công ty hosting này cũng đều thấy hiện tượng bị chèn thêm các iframe vào nội dung trang web.
Theo phân tích của Bkis, hiện tượng này là do các biến thể mới của virus W32.Dashfer gây ra. Từ một Server bị nhiễm, virus W32.Dashfer gửi broadcast gói tin theo giao thức ARP (giao thức phân giải địa chỉ) tới tất cả các server khác trong vùng đặt máy chủ để mạo danh là gateway của hệ thống. Bằng cách này, W32.Dashfer có thể kiểm soát được lưu lượng của tất cả các máy chủ trong vùng, thực hiện tấn công Man-In-The-Middle, chèn iframe vào tất cả các trang web trước khi chúng được trả về cho người sử dụng.
Với cách tấn công này, W32.Dashfer sẽ chèn iframe vào dữ liệu trả về của tất cả các Server, vì thế phạm vi ảnh hưởng của virus là rất lớn, toàn bộ người sử dụng khi truy cập website đặt trên các server này đều gặp phải hiện tượng chèn iframe. Để giải quyết triệt để vấn đề này, các công ty hosting cần tổ chức quy hoạch lại hạ tầng hệ thống server, chống kiểu tấn công ARP poisoning từ trong mạng, cũng như có giải pháp phòng chống virus tổng thể cho tất cả các server. Hiện tượng kể trên đã xuất hiện ở hầu hết các công ty hosting lớn nhất tại Việt Nam.
Game thủ cần cảnh giác trước một hình thức lừa đảo mới
Gần đây, xuất hiện một số website với cái tên là “hack game” thu hút được sự chú ý của nhiều game thủ. Theo điều tra của Trung tâm An ninh mạng Bkis, thực chất, đây là một hình thức phishing nhằm lừa đảo chiếm đoạt tiền của người chơi game.
Thủ đoạn của những kẻ lừa đảo là dựng website quảng cáo về khả năng “hack” được các game online. Đây là những game online phổ biến nhất tại Việt Nam hiện nay như Võ lâm Truyền kỳ (Vinagame), Thiên Long Bát Bộ (FPT Online), Audition (VTC Games)... Theo quảng cáo này, game thủ chỉ cần mua các thẻ chơi game và nạp vào website, họ sẽ nhận được lượng tiền ảo lớn hơn nhiều lần so với thông thường.
Tuy nhiên, sau khi game thủ nạp tiền vào các website nói trên, thông tin về thẻ của họ sẽ không được nạp vào tài khoản mà lại được gửi thẳng về địa chỉ email của kẻ lừa đảo.
Để “dụ” được nạn nhân, kẻ lừa đảo đã chuẩn bị một số website có giao diện “nhái” theo website nạp thẻ của các game online. Với mỗi hình thức nạp thẻ khác nhau (nạp thẻ online, nạp thẻ bằng SMS), kẻ lừa đảo sẽ dựng ra một website giả mạo tương ứng, với logo, hình ảnh của các nhà cung cấp dịch vụ như VinaGame, FPT, VTC, Entrust... Chính vì vậy, nếu không để ý kỹ, nạn nhân có thể lầm tưởng đây là các website chính thống và bị mắc lừa. Bên cạnh đó, với mức “lãi” lớn được đưa ra, kẻ xấu đã đánh trúng tâm lý ham lợi của nạn nhân để dễ dàng thực hiện hành vi lừa đảo.
Theo VTV