Tin tức Bkav | Bkav Corporation

Do your best, the rest will come !

Xuất hiện Worm mới phát tán qua Yahoo! Messenger

11:08:00 | 04-05-2010

Một loại sâu mới, tấn công qua Yahoo! Messenger, vừa xuất hiện và đang lây lan nhanh trong cộng đồng người sử dụng phần mềm hội thoại trực tuyến này.

Tin nhắn chứa mã độc được gửi qua Yahoo! Messenger

Một vài ngày trở lại đây, nhiều người nhận được từ nick Yahoo của bạn bè các tin nhắn có kèm đường link được thể hiện giống như một file ảnh. Nếu bấm vào link này, trình duyệt sẽ tải về một file exe có chứa mã độc. Khi người sử dụng mở file exe vừa tải về, lập tức máy tính sẽ bị nhiễm virus. Khi đó, chính phần mềm Yahoo! Messenger chạy trên máy tính này trở thành nguồn phát tán mã độc tới những người sử dụng Yahoo! Messenger khác. Virus sẽ tiếp tục tự động gửi link độc tới các tài khoản trong friend list Yahoo! Messenger của người sử dụng.

File exe chứa mã độc được ngụy trang thành một file ảnh

Cách thức tấn công của loại virus mới này giống với các loại sâu từng lây lan qua Yahoo! Messenger trước đây, nhưng mức độ nguy hiểm lớn hơn nhiều vì kiểu ngụy trang của loại sâu này khiến người sử dụng tưởng rằng bạn bè chia sẻ ảnh nên không đề phòng, dễ dàng bấm vào link và mở file độc.

Thông tin file cho thấy đây là một file exe

Bkav nhận diện loại sâu này là W32.Ymfocard.Worm (và các biến thể của nó là W32.Ymfocard.fam.Botnet), khi lây nhiễm trên máy tính của người sử dụng, sâu này tự động bật lên cửa sổ mở tới một trang web, và tự động gửi link phát tán qua Yahoo! Messenger. Dưới đây là một số phân tích về hành vi của loại sâu này:

1. Tự động popup trang : http://browseusers.myspace.com/Browse/Browse.aspx khi virus chạy lần đầu tiên

2. Ghi key:

• [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"Firewall Administrating" = "c:windowsinfocard.exe"

• [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Firewall Administrating" = "c:windowsinfocard.exe"

Để virus được kích hoạt mỗi khi Windows khởi động

3. Ghi key

• HKLMSYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicy StandardProfileAuthorizedApplicationsList] Để qua mặt firewall

4. Tạo bản sao của chính nó vào thư mục %WinDir% với tên "infocard.exe"

5. Dump ra file %WinDir%winbrd.jpg

6. Tự động gửi link phát tán qua Yahoo! Messenger

• http://mig[removed]tos.com/image.php

• http://www.k[removed]nk.com/image.php

• …………

Người sử dụng Yahoo! Messenger cần cảnh giác khi nhận được các link lạ, ngay cả khi chúng được gửi từ bạn bè thân thiết, đồng thời thường xuyên cập nhật phiên bản mới nhất của phần mềm diệt virus để bảo vệ máy tính.

Bkis