Sau 15 năm sâu độc MyDoom tiếp tục đe dọa người dùng email toàn thế giới

Là một trong những phần mềm độc hại có sức tàn phá khủng khiếp nhất trong lịch sử an ninh mạng, MyDoom vẫn đang tích cực được phân phối trong 15 năm qua và tiếp tục đe dọa người dùng các dịch vụ thư điện tử trực tuyến trên toàn thế giới

​

Hoạt động từ năm 2004 đến nay, phần mềm độc hại MyDoom còn được biết đến với tên gọi Novarg, Mimail, Shimg. Được biết đây là một loại sâu độc khét tiếng, có tốc độ lây lan cực kỳ nhanh trên phạm vi rộng bằng hình thức gửi email hàng loạt (email spam). Ngoài ra, một số biến thể của MyDoom còn có khả năng lây nhiễm vào những hệ thống mạng ngang hàng (peer-to-peer networks).

Sâu độc này có thể thu thập nhiều địa chỉ email từ các liên hệ của nạn nhân và từ đó, chúng tiếp tục “nhân bản” và gửi email độc hại đến những địa chỉ email mà nó tìm thấy. Nếu tệp đính kèm được mở, quy trình sẽ bắt đầu lặp lại và MyDoom cứ thế tiếp cận với nhiều nạn nhân hơn mà chủ nhân của hệ thống không hề biết có sự xâm nhập này.

Sau khi lây nhiễm thành công vào máy tính nạn nhân. MyDoom sẽ âm thầm cài đặt một backdoor trên các cổng TCP từ 3217 đến 3198. Điều này cho phép tin tặc có quyền truy cập từ xa vào những hệ thống bị lây nhiễm để phân phối các payload độc hại khác. Trong một vài trường hợp cá biệt, MyDoom còn cho phép tin tặc phát động một cuộc tấn công từ chối dịch vụ DoS.

Những thông số “ấn tượng” về sâu độc MyDoom

Hiện, MyDoom đang giữ kỷ lục về loại sâu bệnh email lan truyền nhanh nhất thế giới kể từ khi được phát hiện năm 2004. Đồng thời, MyDoom cũng đang giữ kỷ lục về loại virus có sức tàn phá lớn nhất trong lịch sử ngành bảo mật – an ninh mạng, với mức thiệt hại ước tính là 38.5 tỷ đô la và đã tạo ra một phần tư số email độc hại được gửi đi trong tổng số email trên toàn thế giới.

Điển hình là sự tác động của MyDoom vào tháng 7 năm 2004, nó đã đánh sập Google, khiến người dùng không thể tìm kiếm trên website trong phần lớn thời gian trong ngày. Các công cụ tìm kiếm khác cùng thời, bao gồm Yahoo, Lycos và Alta Vista cũng trải qua hiệu suất chậm do cuộc tấn công của MyDoom gây ra.

Tuy nhiên, điều đáng nói ở đây là sau hơn một thập kỷ rưỡi kể từ ngày đó, MyDoom vẫn còn tồn tại và theo phân tích của công ty an ninh mạng Palo Alto Networks, 1.1% của tất cả email có chứa phần mền độc hại được gửi trong năm 2019 đã là email MyDoom, “đạt trung bình 21,4% cho tất cả các tệp đính kèm phần mềm độc hại được ghi nhận lan truyền thông qua email spam.

Số liệu thống kê MyDoom trong nửa đầu năm 2019​

Trung Quốc, Hoa Kỳ và Vương Quốc Anh đều là những “ổ dịch” MyDoom lớn nhất thế giới, hầu hết các email chứa sâu độc chủ yếu đềi được gửi đến và đi từ những quốc gia này. Tuy nhiên, quá trình phát tán của sâu độc MyDoom vẫn mang tính chất toàn cầu và mục tiêu có thể nhắm đến nhiều quốc gia khác nhau trên thế giới.

“Diệt sâu” MyDoom bằng cách nào?

Với cách thức hoạt động của MyDoom, các tiêu đề thư sẽ được thiết kế tinh vi để lừa người dùng mở tệp đính kèm độc hại từ một địa chỉ email giả mạo. Ví dụ như từ một email thông báo giao hàng không thành công buộc người dùng phải mở tài liệu đính kèm để tìm hiểu lý do, hoặc những nội dung hấp dẫn, thu hút người dùng nhấp vào để biết thêm chi tiết nhưng thực chất nó lại là “nút kích hoạt” phát tán mã độc, …

Vì vậy, các chuyên gia đã khuyến cáo rằng, “chúng ta nên tìm hiểu về mức độ cơ bản của an toàn an ninh mạng, đồng thời trang bị giải pháp bảo mật có thể ngăn chặn các email spam độc hại, phát hiện các tệp đính kèm đáng ngờ trong email và hết sức cảnh giác với địa chỉ email trông kỳ quặc”.

Tổng hợp​