Vào ngày 08/07/2008 Symantec nhận được một file Word chứa một loại mã độc khai thác một lỗ hổng chưa xác định. Symantec và Microsoft đang hợp tác quan sát, điều tra về mối nguy này với tên Microsoft Word Unspecified Remote Code Execution Vulnerability (BID 30124).
Theo những phân tích ban đầu, khi mở file này với những phiên bản khác nhau của Microsoft Word cho kết quả:
- Microsoft Office XP SP3 (version 10.6843.0): Thực thi mã lệnh và máy bị nhiễm mã độc
- Microsoft Office XP (Word 2002 version 10.2627.2625): Thực thi mã lệnh và máy bị nhiễm mã độc
- Microsoft Office 2003 (version 11.5604.5606): Lỗi.
- Microsoft Office 2000 (version 9.0.2720): Lỗi
- Microsoft Office 2007: Mở được file bình thường.
File Word bị nhiễm mã độc khi mở ra sẽ tiếp tục mở một file Word thứ 2 bình thường, điều này sẽ đánh lừa người dùng rằng quá trình mở file diễn ra bình thường. Khi quá trình khai thác thành công sẽ cài backdoor với tên Backdoor.Darkmoon (có thể được thay bằng bất cứ loại mã độc nào khác).
Những phân tích ban đầu cho thấy, mã độc này có thể thực hiện liên kết ra bên ngoài tới các địa chỉ IP và tên miền sau:
- idc-221-153-59-202.firstnetcom.com (202.59.153.221)
- unknown.nscnap.net
- 208.49.199.34
- 208.49.199.27
- 208.49.199.26
- 208.50.79.80
- 208.50.79.67
Một số khuyến nghị với người dùng:
- Tránh mở file word từ những nguồn không tin cậy.
- Sử dụng mã hóa khi chia sẻ file Word.
- Theo dõi và cập nhật ngay các bản vá có liên quan đến Microsoft Word trong thời gian tới.
Theo Symantec |
