DDoS.jpg
Minh họa

Các chuyên gia bảo mật cho biết mã độc W32.Dozer lây nhiễm lên những PC này được tin tặc lập trình sẵn đến một thời điểm nhất định nào đó sẽ xóa sạch toàn bộ dữ liệu trên PC bị lây nhiễm và ngăn không cho PC này được khởi động lại.

Vincent Weafer – Phó chủ tịch cao cấp phụ trách Nhóm phản ứng nhanh với các tình huống bảo mật của Symantec – cho biết W32.Dozer sẽ bắt đầu xóa dữ liệu trên PC bị lây nhiễm vào thời khắc đầu tiên ngày 10/7/2009. W32.Dozer có khả năng tìm kiếm và tiêu diệt các tệp tin thuộc hơn 30 chuẩn định dạng khác nhau như “.doc”, “.pdf”, “.xls” …

Phương pháp hủy dữ liệu của mã độc này như sau. Đầu tiên nó sẽ tiến hành mã hóa toàn bộ các tệp tin dữ liệu mà nó tìm được sau đó ghi đè lên tệp tin gốc. Nếu người dùng không có mã hóa thì sẽ không thể lấy lại được dữ liệu. Ngoài ra các tệp tin liên quan đến các ứng dụng văn phòng, doanh nghiệp hay phát triển phần mềm cũng nằm trong tầm ngắm của W32.Dozer.

Đáng lưu ý hơn nữa W32.Dozer còn được lập trình để thay đổi dữ liệu Master Boot Records với mục tiêu ngăn không cho PC được khởi động lại. Nếu người dùng cố tình khởi động lại PC sẽ ngay lập tức treo cứng hoàn toàn.

Ông Weafer cho biết hậu quả của “vụ tự sát hàng loạt” này có thể tương đối nhỏ. Sẽ chỉ có khoảng vài nghìn PC bị ảnh hưởng. “Tôi không cho rằng đây sẽ là một vấn đề lớn. Nhưng Hàn Quốc sẽ là một ngoại lệ”.

Cơ quan tình báo Hàn Quốc ước tính đã có khoảng 20.000 PC bị lây nhiễm mã độc đã tham gia vào các vụ tấn công website của nước này và Mỹ. Trong đó hầu hết những PC này là ở chính Hàn Quốc.

Các vụ tấn công đã liên tục diễn ra kể từ ngày 4/7 đến nay và dự báo sẽ còn có thể tiếp tục. Do tin tặc sử dụng hệ thống PC “ma” nên có thể nói rất khó xác định được nguồn gốc của các vụ tấn công. Nhưng với những dấu hiệu trên đây thì có lẽ cuộc tấn công sẽ sớm kết thúc khi W32.Dozer hoàn tất quá trình “tự sát”.

Theo Informationweek/ VnMedia