Virus W32.SafeSys xuyên thủng Deepfreeze khiến các cửa hàng Internet khốn đốn

Loại virus có khả năng lây nhiễm xuyên qua lớp bảo vệ của phần mềm đóng băng hệ thống DeepFreeze đang làm lao đao các cửa hàng Internet tại Việt Nam. Xuất hiện từ đầu tháng 3/2009, đến nay đã có 174 dòng biến thể của virus xuất xứ từ Trung Quốc này được tung lên mạng.

DeepFreeze là phần mềm được sử dụng phổ biến tại các cửa hàng Internet Việt Nam. Phần mềm này có khả năng giám sát việc thay đổi các sector (vùng lưu trữ dữ liệu) trong phân vùng của ổ cứng và lưu lại thay đổi vào một vùng khác (vùng đệm). Khi chương trình bình thường truy xuất đến các sector này, dữ liệu ở vùng đệm được đưa ra thay thế cho dữ liệu ở sector gốc. Khi máy tính khởi động lại, dữ liệu trong vùng đệm sẽ bị xóa và máy tính trở lại trạng thái như ban đầu. Cài đặt DeepFreeze cho máy tính, các chủ tiệm Internet cho rằng có thể yên tâm vì chỉ cần khởi động lại máy tính là DeepFreeze đưa hệ thống trở về trạng thái thiết lập ban đầu, tránh nguy cơ về virus.

Tuy nhiên, W32.SafeSys.Worm lại sử dụng kỹ thuật ghi trực tiếp dữ liệu lên sector của đĩa thông qua việc gửi yêu cầu tương tác trực tiếp với controller (trình điều khiển) của ổ đĩa máy tính. Bằng cách này, W32.SafeSys.Worm có thể ghi lên đĩa mà các chương trình đóng băng hệ thống như DeepFreeze không hề hay biết.

Vượt qua được DeepFreeze để lây nhiễm vào máy tính, W32.SafeSys.Worm sẽ tiếp tục tiến hành các hoạt động phá hoại như: lấy cắp mật khẩu Game online, giả Gateway, chèn iframe khai thác lỗ hổng phần mềm để tiếp tục lây nhiễm trong mạng LAN, lây lan qua USB, tự cập nhật biến thể mới. Nhiều cửa hàng Internet, do quá tin tưởng vào DeepFreeze nên không dùng đến các biện pháp bảo vệ khác, đã trở thành nạn nhân của W32.SafeSys.Worm. Theo thống kê của Bkis, đã có ít nhất 46.000 máy bị nhiễm sâu này tại Việt Nam.

Nếu cửa hàng Internet của bạn gặp vấn đề với virus này, bạn có thể cập nhật phiên bản Bkav mới nhất từ địa chỉ www.bkav.com.vn để xử lý virus.

Scammer lợi dụng việc Yahoo! 360 đóng cửa để lừa blogger

Sáng 2/6/2009, trên mạng Internet xuất hiện hàng loạt Scam mail với nội dung mạo danh Yahoo với tiêu đề “Công cụ chuyển đổi từ Yahoo! 360 sang Yahoo! 360plus bởi Yahoo! 360 Team”. Trong email, Scammer nhúng một bức ảnh chụp lại từ giao diện có thông báo của nhà cung cấp dịch vụ về công cụ chuyển đổi từ Yahoo! 360 sang Yahoo! 360plus (như hình dưới đây). Nếu cả tin bấm vào bức ảnh này, người dùng sẽ bị dẫn đến một website có giao diện giống hệt trang web đăng nhập của Yahoo như trong ảnh:

Giao diện giả mạo website của Yahoo

Tuy nhiên, để ý sẽ thấy tên miền không trỏ tới Yahoo.com mà là một địa chỉ gần giống như vậy (yahoo-360-service.com). Nhưng vì giao diện giả mạo đã được làm giống hệt website của Yahoo nên ít người sử dụng kiểm tra lại tên miền. Thực chất, domain này chỉ mới được tạo từ ngày 30/05/2009.

Nếu người sử dụng nhập Yahoo! ID và mật khẩu vào website giả mạo này, thông tin lập tức được gửi về cho Scammer, đồng thời trình duyệt sẽ chuyển về website thật của Yahoo là Yahoo.com. Việc này khiến nạn nhân chỉ nghĩ rằng có thể mình vừa gõ nhầm mật khẩu và gõ lại lần nữa. Khi đăng nhập được vào tài khoản của mình, họ sẽ không còn nghi ngờ gì về việc đã bị lừa lấy mất mật khẩu.

Ông Vũ Minh Trí, Tổng giám đốc Yahoo Việt Nam, khẳng định với Bkis ngoài hướng dẫn chuyển đổi từ Yahoo! 360 sang Yahoo! 360plus trên website chính thức của mình, nhà cung cấp dịch vụ này không đưa ra bất kỳ công cụ chuyển đổi blog nào khác.

Bkis khuyến cáo người sử dụng Yahoo tại Việt Nam cần hết sức cảnh giác trước các kiểu lừa bằng Scam mail tương tự. Không nên mở các email cũng như click vào các đường dẫn không rõ nguồn gốc.

Nguy cơ lộ mật khẩu vì tính năng “Save Password” của trình duyệt Google Chrome và FireFox

Để giúp người sử dụng không phải nhớ hoặc gõ lại mật khẩu khi thường xuyên ra vào các website yêu cầu tài khoản, các trình duyệt phổ biến hiện nay là Internet Explorer, Firefox và Chrome đều cung cấp tính năng lưu mật khẩu. Mỗi khi có truy cập vào các website yêu cầu nhập mã tài khoản, các trình duyệt sẽ đề nghị người sử dụng ghi nhớ mật khẩu đó lại. Tuy nhiên, Firefox và Chrome còn cung cấp thêm cơ chế cho phép người sử dụng có thể xem lại được những mật khẩu đã lưu trên trình duyệt một cách dễ dàng. Đây chính là kẽ hở của tính năng lưu mật khẩu. Như vậy, bất kỳ ai ngồi trên máy tính đó đều có thể xem được tất cả các mật khẩu của chủ nhân. Điều nguy hiểm là phần lớn người sử dụng hiện nay đều không biết hoặc không để ý đến việc có cơ chế xem lại mật khẩu này.

Để hạn chế nguy cơ lộ mật khẩu, Firefox 3 đã bổ sung thêm “Master Password”, là một mật khẩu quản lý chung tất cả các mật khẩu còn lại. Nếu thiết lập Master Password, người sử dụng sẽ tránh được nguy cơ bị người lạ đọc được các mật khẩu đã lưu trên trình duyệt.

Master password trên Firefox

Trong khi đó, theo nghiên cứu của Bkis, Google Chorme kể cả phiên bản 3 vừa mới ra mắt ngày 27/05/2009 đều không hỗ trợ bảo vệ mật khẩu bởi 1 mật khẩu chung như Master Password của Firefox.

Password lưu trên Chrome không được bảo vệ

Như đã nói trên, người sử dụng thường không hay biết về nguy cơ này nên có thể họ vẫn cho người khác mượn máy tính để check mail hay duyệt web và nghĩ rằng, trình duyệt sẽ có cơ chế lưu mật khẩu an toàn cho mình. Tuy nhiên, những mật khẩu mà họ chưa bao giờ ghi ra bất kỳ đâu, chỉ nhớ trong đầu, rất dễ bị người lạ nắm giữ toàn bộ từ Chorme, chỉ sau vài giây.

Để ngăn chặn nguy cơ này, Bkis khuyến cáo người sử dụng Firefox cần thiết lập Master Password để bảo vệ các mật khẩu được lưu trên trình duyệt. Còn nếu đang dùng Google Chrome, bạn không nên lưu các mật khẩu trên trình duyệt này, trừ khi bạn chắc chắn rằng: luôn chỉ có mình bạn sử dụng máy tính của mình.

Thông tin liên quan:

Tháng 09, 2008, ngay sau khi Google đưa ra trình duyệt Chrome, Bkis đã phát hiện ra lỗ hổng tràn bộ đệm trong chức năng SaveAs của Google Chrome. Đây là lỗ hổng nguy hiểm đầu tiên của Google Chrome được phát hiện, lỗ hổng cho phép hacker có thể chiếm toàn quyền kiểm soát máy tính của nạn nhân từ xa.

Thông tin về tình hình virus và an ninh mạng tháng 5 năm 2009:

Đã có 270 website của các cơ quan, doanh nghiệp lớn tại Việt Nam bị hacker xâm nhập, trong đó có 38 trường hợp gây ra bởi hacker trong nước, 232 trường hợp do hacker nước ngoài. Ngoài ra, Bkis đã cảnh báo lỗ hổng nghiêm trọng tại website của 34 doanh nghiệp, ngân hàng, trường học, cơ quan thuộc Chính phủ.

Trong tháng 5 đã có 4.111 dòng virus máy tính mới xuất hiện tại Việt Nam, trong đó 4.105 dòng có xuất xứ từ nước ngoài và chỉ có 6 dòng xuất xứ từ Việt Nam. Các virus này đã lây nhiễm trên 4.267.000 lượt máy tính. Virus lây nhiều nhất trong tháng qua là W32.SecretDF.Worm đã lây nhiễm trên 55.000 lượt máy tính.

Danh sách 10 virus lây nhiều nhất trong tháng 5/2009:

Bkis