Cơ quan quản lý hướng dẫn phòng, chống mã độc qua Facebook Messenger

11:16 20/12/2017

(VietQ.vn) - Mã độc này được sử dụng nhằm mục đích lợi dụng tài nguyên máy tính người dùng để đào tiền ảo. Những người dùng trình duyệt Chrome là đối tượng chính của mẫu mã độc này.

Ngày 19/12, nhiều người dùng Facebook Messenger tại Việt Nam lo lắng vì máy tính đột nhiên bị chậm sau khi nhấp chuột vào một tệp tin video được bạn mình gửi tới qua ứng dụng tin nhắn Messenger của Facebook.

Virus phát tán qua Facebook Messenger không phải là một hình thức mới nhưng nó lại đánh đúng vào tâm lý tò mò của người dùng Việt. Đầu tiên, một người bạn có trong danh sách bạn bè (friend list) sẽ gửi cho bạn một file nén zip (có tên dạng "video_" + 4 số ngẫu nhiên) qua Facebook Messenger.

Người nhận khi mở tập tin này sẽ thấy một tập tin giả mạo bên trong, mở tiếp tập tin bên trong thì máy sẽ bị nhiễm mã độc. Mã độc sau khi lây nhiễm vào máy tính sẽ tự động cài đặt một extension để tiếp tục phát tán file zip cho bạn bè của nạn nhân.

Virus đào tiền ảo dưới dạng file Zip lây lan chóng mặt qua Facebook Messenger. Ảnh minh họa

Thông tin từ Cục An toàn thông tin (Bộ Thông tin và Truyền thông) cho biết, đơn vị này đã ngay lập tức ra văn bản hướng dẫn biện pháp phòng, chống mã độc lây lan thông qua Facebook Messenger này.

Qua phân tích kỹ thuật ban đầu của Cục An toàn thông tin, loại mã độc này khi lây nhiễm vào máy tính sẽ tự động tải và cài đặt một số tập tin độc hại 7za.exe, files.7z từ trang web độc hại có tên miền yumuy.johet.bid (với các mẫu mã độc khác nhau, tên miền này có thể thay đổi).

Mã độc sẽ sử dụng tập tin 7za.exe để giải nén tập tin file.7z, sau đó lấy tiện ích mở rộng (extension) độc hại và tự động cài đặt tiện ích mở rộng này vào trình duyệt Chrome. Mã độc này cũng không cho người dùng truy cập vào phần quản lý tiện ích mở rộng của trình duyệt. Trong tập tin được giải nén có chứa các tập tin thực thi được cho là sử dụng nhằm mục đích lợi dụng tài nguyên máy tính người dùng để đào tiền ảo.

Thông qua các biện pháp kỹ thuật, các chuyên gia nhận định tác giả của mẫu mã độc này có thể đang sử dụng địa chỉ email có tên miền là kadirgun.com.

Hiện, những người dùng trình duyệt Chrome là đối tượng chính của mẫu mã độc này. Không loại trừ khả năng trong thời gian tới sẽ xuất hiện các mẫu mã độc nhằm vào các trình duyệt khác.

Phía Cục An toàn thông tin cũng khuyến nghị người dùng không mở các tập tin hay đường dẫn lạ được gửi qua Facebook Messenger hay bất kỳ ứng dụng truyền thông nào khác (Viber, Zalo, email…).

Trong trường hợp nhận được các thông tin (tập tin hoặc đường dẫn) lạ, có thể thông báo hoặc gửi thông tin về Cục An toàn thông tin để tổng hợp và phân tích, cảnh báo khi có những dấu hiệu, nguy cơ tấn công mạng mới.

Ngoài ra, người dùng đã bị lây nhiễm cần cài đặt và cập nhật các phần mềm phòng, chống mã độc, virus để phát hiện và ngăn chặn, loại bỏ mã độc này.

Trước đó, Bkav cũng khuyến cáo người dùng nên ngay lập tức đổi mật khẩu cho tài khoản đăng nhập trên trình duyệt của mình nếu đã lỡ mở file nén đính kèm. Hiện Bkav đã cập nhật mẫu nhận diện mã độc này với tên là W32.FBCoinMiner.Worm, người dùng có thể tải phần mềm Bkav phiên bản mới nhất để diệt virus. Riêng khách hàng sử dụng phiên bản Bkav Pro có bản quyền sẽ được tự động cập nhật.

Minh Hải