Virus tấn công hàng loạt máy chủ ở Việt Nam

Người sử dụng khi truy cập vào bất kỳ máy chủ nào tại các công ty hosting này đều thấy hiện tượng bị chèn thêm các iframe vào nội dung trang web. Theo Trung tâm an ninh mạng Bách khoa (Bkis), W32.Dashfer là dòng virus chèn banner có xuất xứ từ Trung Quốc xuất hiện lần đầu tiên từ cuối năm 2007 nhưng đến nay vẫn nằm trong top các virus lây lan nhiều ở Việt Nam.

Theo phân tích của Bkis, hiện tượng này là do các biến thể mới của virus W32.Dashfer gây ra. Từ một máy chủ bị nhiễm, virus W32.Dashfer gửi các gói tin theo giao thức ARP (giao thức phân giải địa chỉ) tới tất cả các máy chủ khác trong vùng đặt máy chủ để mạo danh là cổng vào (gateway) của hệ thống. Bằng cách này, W32.Dashfer có thể kiểm soát được lưu lượng của tất cả các máy chủ trong vùng, thực hiện tấn công, chèn iframe vào tất cả các trang web trước khi chúng được trả về cho người sử dụng.

Với cách tấn công này, W32.Dashfer sẽ chèn iframe vào dữ liệu trả về của tất cả các máy chủ, vì thế phạm vi ảnh hưởng của virus là rất lớn, toàn bộ người sử dụng khi truy cập trang web đặt trên các máy chủ này đều gặp phải hiện tượng chèn iframe.

Bkis cho rằng để giải quyết triệt để vấn đề này, các công ty hosting cần tổ chức quy hoạch lại hạ tầng hệ thống máy chủ, chống kiểu tấn công ARP xuất phát từ trong mạng, cũng như có giải pháp phòng chống virus tổng thể cho tất cả các máy chủ.

Lừa đảo game thủ

Bkis cũng cảnh báo gần đây, xuất hiện một số trang web với cái tên là “hack game” thu hút được sự chú ý của nhiều game thủ. Theo điều tra của Trung tâm An ninh mạng Bkis, thực chất, đây là một hình thức phishing nhằm lừa đảo chiếm đoạt tiền của người chơi game.

Thủ đoạn của những kẻ lừa đảo là dựng website quảng cáo về khả năng “hack” được các game online. Đây là những game online phổ biến nhất tại Việt Nam hiện nay như Võ lâm Truyền kỳ (Vinagame), Thiên Long Bát Bộ (FPT Online), Audition (VTC Games)... Theo quảng cáo này, game thủ chỉ cần mua các thẻ chơi game và nạp vào website, họ sẽ nhận được lượng tiền ảo lớn hơn nhiều lần so với thông thường.

Tuy nhiên, sau khi game thủ nạp tiền vào các website nói trên, thông tin về thẻ của họ sẽ không được nạp vào tài khoản mà lại được gửi thẳng về địa chỉ email của kẻ lừa đảo.

Để “dụ” được nạn nhân, kẻ lừa đảo đã chuẩn bị một số website có giao diện “nhái” theo website nạp thẻ của các game online. Với mỗi hình thức nạp thẻ khác nhau (nạp thẻ online, nạp thẻ bằng SMS), kẻ lừa đảo sẽ dựng ra một website giả mạo tương ứng, với logo, hình ảnh của các nhà cung cấp dịch vụ như VinaGame, FPT, VTC, Entrust... Chính vì vậy, nếu không để ý kỹ, nạn nhân có thể lầm tưởng đây là các website chính thống và bị mắc lừa. Bên cạnh đó, với mức “lãi” lớn được đưa ra, kẻ xấu đã đánh trúng tâm lý ham lợi của nạn nhân để dễ dàng thực hiện hành vi lừa đảo.

Trên 1,2 triệu máy tính bị nhiễm virus Kavo

Theo thống kê của Bkis, trong tháng 6 vừa qua, có 1.256.000 máy tính tại Việt Nam đã bị nhiễm virus W32.Kavo (virus có xuất xứ từ Trung Quốc) và các biến thể của loại virus này trong tháng 06/2008. Kết quả thống kê từ hệ thống giám sát virus của Bkis cũng cho thấy, đã có tới 639 biến thể mới của virus W32.Kavo xuất hiện trong tháng 06/2008, trung bình 21,3 biến thể mỗi ngày, đây là một kỷ lục mới tốc độ biến thể của một virus.

Xuất hiện từ ngày 11/09/2007, đến nay đã có 3.191 biến thể của W32.Kavo liên tục được phát tán lên mạng. Các máy tính khi bị nhiễm loại mã độc này không những bị chiếm quyền điều khiển, bị mất mát thông tin cá nhân, không thể hiển thị được cái file có thuộc tính ẩn, mà còn không thể sử dụng được chương trình chat Yahoo!Messenger.

Virus W32.Kavo sử dụng kỹ thuật Hook Message (kỹ thuật chặn thông điệp của hệ thống) để được nạp vào bộ nhớ của tất cả các tiến trình có giao diện GUI (Graphical User Interface) đang được thực thi trên máy tính. Với cách này, Kavo có thể “lùng sục” trong bộ nhớ của các tiến trình để dò tìm mật khẩu tài khoản của người sử dụng. Tuy nhiên, do mắc một lỗi trong lập trình, nên khi Kavo can thiệp vào bộ nhớ của Yahoo!Messenger, mã lệnh của virus tự sinh ra lỗi truy xuất bộ nhớ (memory exception) kéo theo đổ vỡ toàn bộ tiến trình này. Đây chính là nguyên nhân của hiện tượng mà rất nhiều người sử dụng Yahoo!Messenger tại Việt Nam đã gặp phải trong thời gian qua: Mỗi khi người sử dụng đăng nhập (sign in) vào Yahoo!Messenger, phần mềm này sẽ tự động bị kết thúc (crash).

Để khắc phục hiện tượng trên, người sử dụng có thể tải Bkav mới nhất từ địa chỉ www.bkav.com.vn.