Những máy tính bị nhiễm virus này sẽ bị mất các bộ gõ tiếng việt như Unikey, Vietkey hay thậm chí là ứng dụng Zalo và người dùng không thể cài lại được.
Theo anh Lê Mạnh Tùng, Giám đốc nghiên cứu bảo mật CyRadar, loại virus mới này có cùng cách thức lây lan với dòng virus huyền thoại WannaCry. Chúng lợi dụng một lỗ hổng trên hệ điều hành Windows (lỗ hổng MS17-010 đã được công bố vào tháng 3 năm 2017) để phát tán rộng trong mạng nội bộ (LAN).
Bằng cách sử dụng kèm theo các tệp tin can thiệp sâu vào hệ thống (rootkit) để che giấu, loại virus này dễ dàng thoát khỏi sự phát hiện của các công cụ rà soát thông thường. Ngay khi được người dùng báo về hiện tượng lạ trên máy như mất bộ gõ Tiếng Việt, CyRadar đã tiến hành kiểm tra và phát hiện ra loại virus này.
“Vẫn còn nhiều công ty sử dụng các máy tính Windows không cập nhật bản vá lỗ hổng, đồng thời cũng không có giải pháp nào để khóa cổng dịch vụ SMB (Server Message Block service) đó là những hệ thống lý tưởng để virus này có thể xâm nhập và phát tán.
Ngoài thành phần lây lan, thì dòng virus này còn gồm nhiều tập tin khác đi cùng nhau, trong đó mỗi tệp có những vai trò khác nhau nhưng tổng quan chung, chúng có nhiệm vụ che giấu bảo vệ nhau trước các công cụ phòng chống mã độc truyền thống, đồng thời liên tục kết nối ra máy chủ điều khiển để cập nhật file thực thi, và luôn duy trì một tiến trình chạy đào tiền ảo trên máy.
Mặc dù các tác vụ nói trên đều được thực hiện ngầm, nhưng virus này còn có một hành vi đặc biệt khiến người dùng dễ nhận ra vấn đề, đó là việc nó liên tục kiểm tra để tắt tiến trình và xóa tệp tin của các bộ gõ Tiếng Việt (Unikey, Vietkey). Phải chăng dòng virus này nhắm riêng đến Việt Nam?
Để bảo vệ mình trước dòng mã độc này và các “người anh em” của nó, người dùng Windows nên nhanh chóng cập nhât các bản vá lỗ hổng (khuyến cáo bật chế độ Auto Update), hoặc tối thiểu thực hiện tải và cài riêng bản vá MS17-010.
Nguồn: Cyradar
Biên tập bởi Tech Funny
