Một phiên bản khác của Trojan từng lây lan qua các máy chủ Microsoft IIS hồi tháng 6 vừa được hãng PivX Solutions (Mỹ) phát hiện. Biến thể lần này sử dụng công cụ nhắn tin nhanh và phát tán qua nhiều website của Nga, Uruguay và Mỹ.

Dạng tấn công mới bắt đầu bằng việc gửi tin nhắn IM tới các khách hàng của dịch vụ AOL Instant Messenger hoặc ICQ. Thông điệp mời người nhận click vào một đường link dẫn tới một trang web với những lời chào mời đại loại như “Check out my new home page!”. Theo Thor Larholm, chuyên gia an ninh của PivX, những tin nhắn này có thể xuất phát từ người lạ hoặc từ chính trong danh sách liên lạc thường xuyên của người dùng (buddy list). Khi nạn nhân đã bấm vào đường link, họ bị đưa tới một trong rất nhiều trang web được host từ các server ở Uruguay, Nga và Mỹ. Từ những địa chỉ này, Trojan sẽ được download vào máy mục tiêu.

Ngoài việc mở một cổng hậu trên máy tính để thông qua đó các chương trình tấn công có thể chui vào, mã tấn công mới còn thay đổi homepage trên trình duyệt web hoặc trang tìm kiếm của trình e-mail Outlook thành những website có nội dung người lớn.

PivX vẫn còn đang tiếp tục phân tích loại sâu này nhưng nhiều file mà nó sử dụng cũng như phương thức thực hiện tấn công cho thấy tác giả có thể vẫn là cùng một nhóm đã phát tán Download.ject.

“Sâu mới có một số đặc điểm riêng nhưng những nét cơ bản thì không khác Download.ject”, Larholm cho biết. “Những loại sâu như thế này được thiết kế vì mục đích tài chính vì chúng có thể đem về nguồn thu quảng cáo cho tác giả”.

Những website truyền tải mã tấn công mới khai thác các lỗ hổng trong Internet Explorer và Outlook mà Microsoft đã khắc phục cho nên hacker chỉ có thể chạy mã trên những máy chưa vá lỗi. Bản nâng cấp cho 2 khiếm khuyết này được cung cấp tại bản tin an ninh MS03-025 và MS03-040.

Hôm qua, các công ty phần mềm an ninh đã biết sự xuất hiện của loại sâu mới nhưng chưa phát hành bản nâng cấp ứng dụng bảo mật