Các chuyên gia bảo mật cảnh báo một biến thể mới của loại sâu này đang phát tán trong những e-mail giả vờ bắt nguồn từ website mua bán trực tuyến và cố gắng lừa người nhận thư mở một đường link.

Nội dung e-mail có chứa virus giả dạng là một thông báo yêu cầu xác nhận của PayPal về một vụ mua bán bằng thẻ tín dụng có giá trị 175 USD. Người nhận thư được mời click vào một đường link để xem chi tiết giao dịch. Nếu bấm vào đó, nạn nhân sẽ được đưa tới một server đang chạy trên một máy tính đã bị nhiễm virus trước đó, khai thác lỗi an ninh trong trình duyệt Internet Explorer của Microsoft. Lỗi này ảnh hưởng Internet Explorer 6.0 trên Windows 2000 và Windows XP Service Pack 1. Người dùng XP đã cài Service Pack 2 không bị tấn công.

“Lỗ hổng nghiêm trọng này được phát hiện tuần trước và hiện chưa có bản vá lỗi. Đây là một trong những trường hợp virus khai thác khiếm khuyết nhanh nhất sau khi lỗi được xác định”, chuyên gia Graham Cluley của Sophos phát biểu. “Người nhận thư thấy lo lắng vì sợ có người tính tiền vào thẻ tín dụng của mình vì một vụ mua bán nào đó mà họ không bao giờ thực hiện và do đó, nạn nhân sẽ quyết định bấm vào đường link để xem chi tiết và thế là máy tính lập tức nhiễm virus. Đây chính là những gì tác giả của Bofra mong muốn”.

Những e-mail chứa virus Bofra.B có những đặc điểm sau:

Xuất xứ: exchange-robot@paypal.com
Chủ đề (Subject): Confirmation

Nội dung bằng tiếng Anh:
Xin chúc mừng! PayPal đã thu xong 175 USD từ thẻ tín dụng của quý khách. Số hồ sơ đơn đặt hàng của quý khách là A866DEC0 và sản phẩm sẽ được gửi đến quý khách trong vòng 3 ngày. Để xem chi tiết xin bấm vào đường link này. Xin đừng phúc đáp thư này bằng e-mail và nó được gửi bằng hệ thống tự động. Xin cảm ơn đã dùng dịch vụ của PayPal.

Như thường lệ, các hãng phần mềm diệt virus vẫn tỏ ra khá bất nhất trong việc định danh các chương trình tấn công mới. Trong khi Sophos xác định 2 loại sâu khai thác lỗi Internet Explorer vừa xuất hiện là Bofra.A và B, các hãng bảo mật hàng đầu khác như Symantec và McAfee lại coi đây là những biến thể mới nhất của họ sâu Mydoom và đặt cho chúng những tên gọi khác nhau như Mydoom.AG, AH, AI… Tuy nhiên, Sophos vẫn tin rằng đây là một dòng virus khác. “Những phân tích chi tiết cho thấy Bofra không có nhiều điểm tương đồng với Mydoom. Một khác biệt tiêu biểu là nó phát tán giữa các máy tính theo cách khác hẳn với Mydoom vốn chỉ dựa vào file đính kèm e-mail”.

Chia sẻ quan điểm này, hãng bảo mật Phần Lan F-Secure cũng cho rằng 2 virus mới có dùng một phần mã nguồn của bản Mydoom gốc nhưng sự khác biệt lớn hơn nên không thể coi đây là những biến thể mới của Mydoom.