9 giờ sáng nay, ngày 18 tháng 2 năm 2004, Trung tâm An Ninh Mạng Bkis nhận được một số email có tiêu đề "ID ajeearrohy... thanks" và "ID nwchv... thanks", các email này đều có đính kèm các file .exe kích thước khoảng 11 Kbyte. Qua nhận định ban đầu của trung tâm An Ninh Mạng thì đây là một loại virus mới và bắt đầu xuất hiện ở Việt Nam. Chúng tôi ngay lập tức tiến hành phân tích và giải mã mẫu virus này. Đến chiều nay thì việc phân tích virus đã hoàn thành và phiên bản Bkav497 cập nhật virus W32.Bagle.B (xem mô tả chi tiết virus ở phần dưới) được đưa ra lúc 18 giờ 45 phút.

Để diệt virus W32.Bagle.B bạn cần thực hiện theo các bước sau:

3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.

4. Chạy Bkav497, chọn quét tất cả các file, tất cả các ổ đĩa.

5. Khởi động lại máy tính.

Mô tả chi tiết virus W32.Bagle.B:

Sâu BeagleB lan truyền qua thư điện tử, nó sẽ tự động gửi thư tới các địa chỉ email tìm thấy trên máy.

1. Bức thư virus gửi ra ngoài có dạng như sau:

Gửi từ (From):

Một địa chỉ bị virus giả mạo.

Tiêu đề (Subject):

ID.......... thanks

ỗi>

Nội dung:

Yours ID
--
Thank

ỗi>

File đính kèm( Attachment):

.exe

File đính kèm này khi được ghi ra đĩa sẽ có biểu tượng là một file audio của Windows.

ỗi>

2. Khi được kích hoạt trên một máy tính của người sử dụng, BeagleB sẽ kiểm tra xem máy tính này đã bị nhiễm virus chưa.Nếu phát hiện máy tính chưa bị nhiễm virus, nó sẽ gọi file Sndrec32.exe (Windows Sound Recorder) để đánh lừa người dùng, sau đó thực hiện copy chính nó vào thư mục hệ thống của hệ điều hành dưới tên au.exe.

3. BeagleB tạo khoá "au.exe" vào trong key

HKEY_CURRENT_USERSOFTWARE

MicrosoftWindowsCurrentVersionRun

để virus này có thể được tự kích hoạt mỗi khi khởi động Windows.

4. Virus tự động thêm vào trong key

HKEY_CURRENT_USERSOFTWAREWindows2000

các dòng sau:

"frn" = "0x00000001" hoặc là "frn" = "0x00000000"

"gid" = ""

Giá trị ngẫu nhiên của key "gid" sẽ được hacker sử dụng như 1 số để nhận dạng.

5. Sâu Beagle.B có kỹ thuật của một backdoor, đợi ở cổng 8866 cho phép hacker upload Trojan lên máy tính bị nhiễm dưới dạng file .exe trong thư mục Windows của hệ điều hành với tên ngẫu nhiên bắt đầu bởi "bsupld" rồi gọi file này chạy với tham số là "-upd".

6. Cứ 10000 giây, BeagleB lại kết nối tới các website sau đây và thông qua đó gửi đi các thông tin về máy tính đang bị nhiễm virus này như IP, máy tính đang mở cổng nào và số nhận dạng của máy đó:

www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php

7. Virus thực hiện quét toàn bộ các ổ cứng trong máy và phân tích các file có phần mở rộng như sau để tìm các địa chỉ email trong máy:

.wab
.txt
.htm
.html

8. Sâu BeagleB được lập trình để chỉ hoạt động đến ngày 25/02/2004. Nếu quá ngày này, sâu Beagle sẽ tạo ra file a.bat để thực hiện tự động loại bỏ chính nó ra khỏi máy tính của người sử dụng. 

Nhóm chuyên viên phân tích: Vũ Ngọc Sơn, Đào Văn Huy, Ngô Trọng Cảnh, Lê Nhật Minh, Nguyễn Minh Anh.

Download chương trình Bkav2002 (Version 497)    220kb