Ngày 17/1, hãng bảo mật Symantec thôngbáo đã cập nhật thành công mã nhận dạng và diệt virus Rocra (còn gọi làvirus “Red October” - chuyên đánh cắp thông tin từ các cơ quan chính phủ vàngoại giao) cho các sản phẩm bảo mật của mình.

Sơ bồ phân bố Rocra đến ngày 16/1 theo ghi nhậncủa Symantec

Theo phân tích của Symantec, virusnày được phát tán thông qua các email lừa đảo có đính kèm một tài liệu MS Wordhoặc bảng tính Excel. Khi người dùng mở tập tin đính kèm, virus sẽ thực thi mộtmodule khai thác một trong 3 lỗ hổng bảo mật đã được biết đến gồm:

- Module khai thác lỗ hổng CVE-2009-3129 của Excel được nhận dạng với tên gọi Bloodhound.Exploit.306

- Module khai thác lỗ hổngCVE-2010-3333 của MS Word được nhận dạng với tên gọi Bloodhound.Exploit.366.

- Module khai thác lỗ hổng CVE-2012-0158 của MS Word được nhận dạng với tên gọiBloodhound.Exploit.457.

Cả 3 mã độc khai thác các lỗ hổng của bộ ứng dụng MS Office nói trên đều thuộcdạng “bình mới rượu cũ” vì đã được phát hiện từ 2009 – 2012.

Ngoài ra, bên trong Rocra còn chứa 2 module chuyên khai khai thác các lỗ hổngbảo mật của Java. Một trong số đó là Trojan.Maljavađã được biết đến từ tháng 10.2010 và một biến thể mới nhất của nó là Trojan.Maljava!gen27được Symantec cập nhật lần đầu tiên vào ngày 15.1.2013.

Kết quả phân tích của Symantec đã "điểm mặt chỉ tên" virus này vớitên gọi Backdoor.Rocra,trong đó bao gồm 2 biến thể là Backdoor.Rocra!gen1và Backdoor.Rocra!gen2.

Đây không phải là lần đầu tiên một chiến dịch tấn công sử dụng email lừa đảo vàchắc chắn cũng không phải là lần cuối cùng. Hãng bảo mật này khuyến cáo ngườidùng của mình nên tải các bản cập nhật mới nhất cho hệ điều hành và các phầnmềm bảo mật. Bên cạnh đó, hãng cũng khuyến cáo người dùng tránh nhấp chuột vàoliên kết lạ cũng như không mở các tập tin đính kèm email nếu có dấu hiệu nghingờ.

Nguồn Laodong