Virus w32.Fiala đã gây hàm oan cho YM? - VN-Zoom forum

tienvipbecon · 03-07-2008, 16:02

Mới đây, một số phương tiện truyền thông đại chúng đã đưa thông tin: “chương trình chat Yahoo! Messenger (YM) bị chèn một đoạn mã độc”.

”. Nguồn tin trên cũng cho biết, đoạn mã phá hoại này được chèn vào phần quảng cáo nằm bên dưới giao diện YM, có thể khiến máy tính của người sử dụng bị hacker tấn công và chiếm quyền điều khiển. Đoạn mã này được trung tâm thông tin bảo mật CMC phát hiện vào lúc 16g30 ngày 10-6-2008. Trung tâm ứng cứu sự cố máy tính khẩn cấp (VNCERT) sau đó đã khuyến cáo người dùng tạm thời không nên sử dụng YM. Nếu cần thiết phải giao tiếp (chat) bằng dịch vụ YM, nên chuyển sang phần mềm bên thứ ba khác. Ngoài ra, người dùng cần cập nhật phiên bản mới nhất của phần mềm Adobe Flash Player tại địa chỉ và cập nhật các phần mềm diệt virus để phát hiện và loại bỏ các virus lây lan qua lỗi YM này.

Tuy nhiên, theo nhận định của ông Vũ Ngọc Sơn, Trưởng phòng virus, Trung tâm an ninh mạng Đại học Bách Khoa Hà Nội (Bkis), YM đã bị oan và thủ phạm thực sự là một loại mã độc cùng họ với dòng virus chèn banner tiếng Trung Quốc có tên Dashfer. “Mã này chúng tôi đặt tên là Fiala, nó thuộc dòng virus w32.Fiala. Thực tế thì việc cảnh báo YM bị chèn mã độc là một sự nhầm lẫn. Theo phân tích của chúng tôi, mạng máy tính của người gửi cảnh báo cho VNCERT đã bị nhiễm virus w32.Fiala, virus này sử dụng công nghệ giả mạo gateway mạng LAN nên đã vô tình gây ra sự nhầm lẫn này. YM không “có tội” gì trong trường hợp này”, ông Sơn nói.

Theo ông Sơn, đoạn mã này có tính lây lan khá nhanh. Khi một máy trong mạng bị nhiễm, tất cả các máy trong mạng khi kết nối Internet sẽ bị chèn các đoạn iframe chứa mã độc hoặc banner quảng cáo ngoài ý muốn. Nếu máy tính đã bị nhiễm thì khi người dùng vào bất kỳ website nào, không chỉ là YM (phần quảng cáo trong YM cũng là một trang web) cũng sẽ thấy website đó bị chèn mã độc, tuy nhiên mã độc này chỉ được chèn vào khi dữ liệu đã về tới mạng LAN nơi có máy tính của người sử dụng, nó không liên quan tới YM.

Giải thích thêm về cách lây lan của mã độc, ông Sơn cho biết, loại virus này khi chui được vào một PC sẽ gửi gói tin tới tất cả các máy tính khác trong cùng mạng để mạo danh là gateway của hệ thống, các kết nối ra Internet của tất cả các máy tính trong mạng lúc này sẽ bị lừa đi qua gateway giả mạo trước, rồi sau đó mới tới gateway thật, do đó các trang web sẽ bị chèn thêm iframe có chứa mã độc trước khi chúng được trả về cho máy tính của người sử dụng, khiến người truy cập vào trang web nào cũng thấy có hiện tượng như gặp virus.
Trung tâm Bkis còn cảnh báo thêm, ngoài virus w32.Fiala còn có các “anh em” là dòng virus w32.Dasfer, w32.Dasfar, chúng cũng thuộc loại virus giả gateway có xuất xứ từ Trung Quốc. Họ sâu này xuất hiện từ tháng 12-2007 và cho tới thời điểm hiện nay liên tục nằm trong Top 5 những virus lây lan nhiều nhất tại Việt Nam với bình quân 157.000 lượt lây nhiễm mỗi tháng. Hiện có rất nhiều doanh nghiệp, cơ quan bị nhiễm loại virus này. Riêng trong tháng 4 vừa qua Bkav đã phải giúp xử lý loại virus này cho 3 ISP trong số 5 ISP lớn nhất Việt Nam hiện nay.

Phân tích từ Trung tâm Bkis cũng cho biết, máy tính khi bị nhiễm dòng virus trên sẽ có một số biểu hiện như: bị sửa registry, máy không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác. Ngoài ra, virus sẽ làm cho các file có thuộc tính ẩn không hiện lên được, mà xuất hiện các popup quảng cáo gây khó chịu. Khi vào YM một lúc thì bị thông báo Send/Don"t Send và không sử dụng được hoặc nặng hơn là có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được).

“Các phần mềm diệt virus của Bkav đang thường xuyên cập nhật virus thuộc dòng w32.Fiala, w32.Dasfer, w32.Dasfar và các mẫu nhận diện. Ngoài ra, chúng tôi cũng triển khai các Honeypot để luôn “bẫy” được các dòng virus này mỗi khi xuất hiện các biến thể mới hàng ngày”, ông Sơn khẳng định.

Thời Đại

Chú thích ảnh: Quá trình chèn banner, popup của virus giả mạo gateway.
Ảnh: BKIS.
(Đây là bài trên web echip.com.vn em xem hay hay nên post lên cho mọi người coi chứ hem cóa ý ăn cắp bản quyền đâu nha)

tpkhanh89 · 03-07-2008, 19:52

Con virus này BKAV cũng đã cập nhật lâu rùi.Các huynh đệ chỉ cần chịu khó update phiên bản mới là xong.

tam0407 · 04-07-2008, 21:13

Nhưng BKAV Home Edition thì làm jì mà nó chịu tự cập nhật bản mới về, mình phãi tự lên wed tải về thì thật là mất công, ai có crack BKAV Pro thì chĩ dùm em.

tienvipbecon · 05-07-2008, 11:27

nhưng mà dùng BKAV lâu ngày vẫn có thể nhiễm sâu bọ vì BKAv hem có chức nặng nhận dạng sâu bọ chưa có trong cơ sở dữ liệu của nó

Leo_mb · 05-07-2008, 11:44

hok bik nữa

Leo_mb · 05-07-2008, 11:45

Hiện nay BKAV đang cập nhật chức năng của Kas thì phải,chắc cũng hok đến nổi nèo

03-07-2008, 16:02	#1
tienvipbecon Rìu Chiến Tham gia: Jan 2008 Đến từ: HCM city Bài: 1.679 VZD: 19.289 Điểm: 366/293 bài viết	Virus w32.Fiala đã gây hàm oan cho YM? Mới đây, một số phương tiện truyền thông đại chúng đã đưa thông tin: “chương trình chat Yahoo! Messenger (YM) bị chèn một đoạn mã độc”. ”. Nguồn tin trên cũng cho biết, đoạn mã phá hoại này được chèn vào phần quảng cáo nằm bên dưới giao diện YM, có thể khiến máy tính của người sử dụng bị hacker tấn công và chiếm quyền điều khiển. Đoạn mã này được trung tâm thông tin bảo mật CMC phát hiện vào lúc 16g30 ngày 10-6-2008. Trung tâm ứng cứu sự cố máy tính khẩn cấp (VNCERT) sau đó đã khuyến cáo người dùng tạm thời không nên sử dụng YM. Nếu cần thiết phải giao tiếp (chat) bằng dịch vụ YM, nên chuyển sang phần mềm bên thứ ba khác. Ngoài ra, người dùng cần cập nhật phiên bản mới nhất của phần mềm Adobe Flash Player tại địa chỉ và cập nhật các phần mềm diệt virus để phát hiện và loại bỏ các virus lây lan qua lỗi YM này. Tuy nhiên, theo nhận định của ông Vũ Ngọc Sơn, Trưởng phòng virus, Trung tâm an ninh mạng Đại học Bách Khoa Hà Nội (Bkis), YM đã bị oan và thủ phạm thực sự là một loại mã độc cùng họ với dòng virus chèn banner tiếng Trung Quốc có tên Dashfer. “Mã này chúng tôi đặt tên là Fiala, nó thuộc dòng virus w32.Fiala. Thực tế thì việc cảnh báo YM bị chèn mã độc là một sự nhầm lẫn. Theo phân tích của chúng tôi, mạng máy tính của người gửi cảnh báo cho VNCERT đã bị nhiễm virus w32.Fiala, virus này sử dụng công nghệ giả mạo gateway mạng LAN nên đã vô tình gây ra sự nhầm lẫn này. YM không “có tội” gì trong trường hợp này”, ông Sơn nói. Theo ông Sơn, đoạn mã này có tính lây lan khá nhanh. Khi một máy trong mạng bị nhiễm, tất cả các máy trong mạng khi kết nối Internet sẽ bị chèn các đoạn iframe chứa mã độc hoặc banner quảng cáo ngoài ý muốn. Nếu máy tính đã bị nhiễm thì khi người dùng vào bất kỳ website nào, không chỉ là YM (phần quảng cáo trong YM cũng là một trang web) cũng sẽ thấy website đó bị chèn mã độc, tuy nhiên mã độc này chỉ được chèn vào khi dữ liệu đã về tới mạng LAN nơi có máy tính của người sử dụng, nó không liên quan tới YM. Giải thích thêm về cách lây lan của mã độc, ông Sơn cho biết, loại virus này khi chui được vào một PC sẽ gửi gói tin tới tất cả các máy tính khác trong cùng mạng để mạo danh là gateway của hệ thống, các kết nối ra Internet của tất cả các máy tính trong mạng lúc này sẽ bị lừa đi qua gateway giả mạo trước, rồi sau đó mới tới gateway thật, do đó các trang web sẽ bị chèn thêm iframe có chứa mã độc trước khi chúng được trả về cho máy tính của người sử dụng, khiến người truy cập vào trang web nào cũng thấy có hiện tượng như gặp virus. Trung tâm Bkis còn cảnh báo thêm, ngoài virus w32.Fiala còn có các “anh em” là dòng virus w32.Dasfer, w32.Dasfar, chúng cũng thuộc loại virus giả gateway có xuất xứ từ Trung Quốc. Họ sâu này xuất hiện từ tháng 12-2007 và cho tới thời điểm hiện nay liên tục nằm trong Top 5 những virus lây lan nhiều nhất tại Việt Nam với bình quân 157.000 lượt lây nhiễm mỗi tháng. Hiện có rất nhiều doanh nghiệp, cơ quan bị nhiễm loại virus này. Riêng trong tháng 4 vừa qua Bkav đã phải giúp xử lý loại virus này cho 3 ISP trong số 5 ISP lớn nhất Việt Nam hiện nay. Phân tích từ Trung tâm Bkis cũng cho biết, máy tính khi bị nhiễm dòng virus trên sẽ có một số biểu hiện như: bị sửa registry, máy không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác. Ngoài ra, virus sẽ làm cho các file có thuộc tính ẩn không hiện lên được, mà xuất hiện các popup quảng cáo gây khó chịu. Khi vào YM một lúc thì bị thông báo Send/Don"t Send và không sử dụng được hoặc nặng hơn là có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được). “Các phần mềm diệt virus của Bkav đang thường xuyên cập nhật virus thuộc dòng w32.Fiala, w32.Dasfer, w32.Dasfar và các mẫu nhận diện. Ngoài ra, chúng tôi cũng triển khai các Honeypot để luôn “bẫy” được các dòng virus này mỗi khi xuất hiện các biến thể mới hàng ngày”, ông Sơn khẳng định. Thời Đại Chú thích ảnh: Quá trình chèn banner, popup của virus giả mạo gateway. Ảnh: BKIS. (Đây là bài trên web echip.com.vn em xem hay hay nên post lên cho mọi người coi chứ hem cóa ý ăn cắp bản quyền đâu nha)

05-07-2008, 11:44	#5
Leo_mb Rìu Sắt Đôi Tham gia: Dec 2007 Bài: 228 VZD: 3.205 Điểm: 90/62 bài viết	hok bik nữa __________________ Đối với ai đó em chỉ là người con gái bình thường,nhưng đối với anh, em là cả bầu trời

05-07-2008, 11:45	#6
Leo_mb Rìu Sắt Đôi Tham gia: Dec 2007 Bài: 228 VZD: 3.205 Điểm: 90/62 bài viết	Hiện nay BKAV đang cập nhật chức năng của Kas thì phải,chắc cũng hok đến nổi nèo __________________ Đối với ai đó em chỉ là người con gái bình thường,nhưng đối với anh, em là cả bầu trời

Ðiều Chỉnh
Tạo trang in Email trang này
Xếp Bài
Linear Mode Switch to Hybrid Mode Switch to Threaded Mode

03-07-2008, 19:52	#2
tpkhanh89 Rìu Sắt Đôi Tham gia: Jan 2008 Đến từ: Biên Hoà Bài: 227 VZD: 4.513 Điểm: 127/63 bài viết	Con virus này BKAV cũng đã cập nhật lâu rùi.Các huynh đệ chỉ cần chịu khó update phiên bản mới là xong.

04-07-2008, 21:13	#3
tam0407 Búa Gỗ Đôi Tham gia: Jun 2008 Bài: 31 VZD: 1.015 Điểm: 8/6 bài viết	Nhưng BKAV Home Edition thì làm jì mà nó chịu tự cập nhật bản mới về, mình phãi tự lên wed tải về thì thật là mất công, ai có crack BKAV Pro thì chĩ dùm em.

05-07-2008, 11:27	#4
tienvipbecon Rìu Chiến Tham gia: Jan 2008 Đến từ: HCM city Bài: 1.679 VZD: 19.289 Điểm: 366/293 bài viết	nhưng mà dùng BKAV lâu ngày vẫn có thể nhiễm sâu bọ vì BKAv hem có chức nặng nhận dạng sâu bọ chưa có trong cơ sở dữ liệu của nó