Xuất hiện phiên bản virus Bagle mới

Các hãng bảo mật và sản xuất phần mềm chống virus đang cảnh báo về một biến thể mới của dòng sâu máy tính lây lan thư điện tử có tên là Bagle.

Virus này được các hãng phần mềm chống virus gọi bằng một số tên khác nhau và rất giống với phiên bản trước đó của nó. Tuy nhiên, theo ông Sam Curry, phó chủ tịch công ty quản trị bảo mật e-Trust thuộc Computer Associates (CA) thì biến thể này có những đặc điểm mới nhằm đánh lừa các phần mềm chống virus và các sản phẩm lọc nội dung thư.

CA đã phát hiện được sự có mặt của phiên bản mới này vào sáng ngày 9-8 và đặt tên nó là Bagle.AG. Còn các hãng F-Secure và McAfee thì gọi nó là Bagle.AQ. Theo F-Secure thì virus mới này được lây lan qua những thư điện tử được phát tán tương tự như phát tán thư rác. Các thông tin về virus mới từ các khách hàng của CA liên tục gia tăng vào chiều ngày 9-8, với hơn 35 doanh nghiệp và 300 khách hàng gửi mẫu virus này về hãng. Dựa vào các thông tin này, các hãng phần mềm chống virus McAfee đánh giá phiên bản Bagle mới này có mức độ nguy hiểm "trung bình".

Phiên bản Bagle mới gần như giống hệt với phiên bản trước đó. Cũng giống như các phiên bản cũ, nó được tích hợp một giao thức thư điện tử SMTP riêng của mình, thu thập các địa chỉ thư điện tử từ các file trên ổ cứng máy tính mà nó lây nhiễm, từ đó gửi các bản sao của nó tới những địa chỉ này với những địa chỉ người gửi giả mạo.

Tuy nhiên, Bagle.AG có thêm một vài tính năng mới làm cho nó khó bị phát hiện hơn.

Do các phần mềm tường lửa và chống virus thường ngăn chặn các giao dịch tới các hệ thống khác trên Internet của các ứng dụng không được cho phép nên Bagle sẽ đánh lừa các phần mềm này bằng cách làm cho những hoạt động của mình giống như các hoạt động hợp pháp của trình duyệt. Nó sẽ chèn một file thư viện liên kết động, hay còn gọi là file DLL vào Windows để tự ngụy trang thành trình duyệt web Internet Explorer của Microsoft.

Còn với các công ty sử dụng các sản phẩm lọc nội dung để kiểm tra các giao dịch web, phiên bản Bagle mới này có thêm tính năng thay đổi tên file mà nó bám theo. Thí dụ, nó có thể đổi tên các file chương trình có phần mở rộng là EXE thành những loại file vô hại như những file ảnh có phần mở rộng là JPEG, thường được các phần mềm lọc nội dung bỏ qua.

Phiên bản mới này còn lây lan bằng cách khai thác một lỗi nguy hiểm trong tính năng mở và xem các file nén .ZIP của Windows. Lỗi này cho phép virus này xâm nhập khi người dùng sử dụng Windows Explorer hay trình duyệt IE để xem các file đính kèm theo thư điện tử có định dạng .ZIP mà trong đó có các virus kèm theo.

Kể từ khi xuất hiện vào đầu năm nay, hàng loạt các biến thể của dòng virus Bagle này đã liên tục xuất hiện.

CA và các hãng bảo mật khác đã đưa ra các bản cập nhật chống biến thể virus mới này. Thêm vào đó, ông Cury cho biết các sản phẩm chống virus sử dụng công nghệ phát hiện virus bằng kinh nghiệm cũng có thể phát hiện được biến thể virus mới này mà không cần phải cài thêm các bản cập nhật.