Các phân tích của chuyên gia an ninh mạng (thuộc
Công ty An ninh mạng Bkav) chỉ rõ, virus ẩn nấp trong tập tin “Phương án bảo vệ
vùng biển-QTtacchienA-6-2014.doc” được điều khiển qua domain (tên miền) của một
công ty Trung Quốc đăng ký.
Như đã đưa tin, gần
đây phóng viên Vietnam+ có nhận được một email lạ có tiêu đề và đính kèm tập
tin khá “hot”: “Phương án bảo vệ vùng biển-QTtacchienA-6-2014.doc.”
Nghi ngờ có virus ẩn
nấp trong tập tin, chúng tôi đã gửi mẫu tới Công ty An ninh mạng Bkav và nhận
được thông tin tập tin này có chứa mã độc.
Phân tích chuyên sâu
của các chuyên gia Bkav cho thấy, virus này có tên là W32.RatJourMV.Trojan. Đây
là một loại mã độc RAT (Remote Access Trojan), mở cổng hậu trên thiết bị của
nạn nhân và cho phép hacker truy cập điều khiển từ xa (Remote Access).
Hacker đã khai thác lỗ
hổng MS12-027 của Microsoft Office để chèn mã độc vào tập tin văn bản “Phương
án bảo vệ vùng biển-QTtacchienA-6-2014.doc.”
Người sử dụng sau khi
tải, mở tập tin này, virus sẽ đã cài 3 thành phần độc hại vào hệ thống của
thiết bị, bao gồm m.exe; msi.dll và msi.dll.mov.
Khởi chạy, virus sẽ
kết nối tới C&C Server (máy chủ điều khiển) có địa chỉ “moit.dubkill.com.”
Địa chỉ tên miền này được đăng ký bởi một công ty của Trung Quốc. Hiện tại,
moit.dubkill.com được đặt ở với máy chủ có địa chỉ IP tại Hàn Quốc.
Theo ông Vũ Ngọc Sơn,
Phó Chủ tịch phụ trách Nghiên cứu Phát triển của Bkav, việc mở một cổng hậu
nhận lệnh điều khiển từ xa, cho phép hacker kiểm soát, chiếm quyền điều khiển
máy tính của nạn nhân. Như vậy, tin tặc có thể thu thập dữ liệu, ghi các thao
tác bàn phím (keylogger), chụp màn hình, liệt kê các kết nối hiện tại… của máy
tính nạn nhân.
Do đó, ông Sơn khuyến
cáo người dùng cần cập nhật bản vá Microsoft Office trên máy, nên mở các file
văn bản nhận từ Internet trong môi trường cách ly và cài phần mềm diệt virus
thường trực trên máy tính để được bảo vệ tự động./.
(Theo Vietnamplus)
