Theo ông Lê Mạnh Tùng, Giám đốc nghiên cứu bảo mật CyRadar, loại virus mới này sẽ lợi dụng một lỗ hổng trên hệ điều hành Windows (lỗ hổng MS17-010 đã được công bố vào tháng 3/2017) để phát tán rộng trong mạng nội bộ (LAN).
Bằng cách sử dụng kèm theo các tệp tin can thiệp sâu vào hệ thống (rootkit) để che giấu, loại virus này dễ dàng thoát khỏi sự phát hiện của các công cụ rà soát thông thường. Ngay khi được người dùng báo về hiện tượng lạ trên máy tính như mất bộ gõ tiếng Việt, CyRadar đã tiến hành kiểm tra và phát hiện ra loại virus này. Đồng thời, với công nghệ bản đồ mã độc, các chuyên gia đã nhanh chóng tìm ra máy chủ phát tán dòng viếu này cũng như thu thập những địa chỉ IP có liên quan, từ đó ngăn chặn việc lây lan rộng hay tác động xấu tới doanh nghiệp và người dùng.
Ông Tùng cho biết, hiện nay vẫn còn nhiều công ty sử dụng các máy tính Windows không cập nhật bản vá lỗ hổng, đồng thời không có giải pháp để khóa cổng dịch vụ SMB, đó là những hệ thống lý tưởng để virus có thể xâm nhập và phát tán.
Ngoài thành phần lây lan, dòng virus này còn tồn tại nhiều tập tin khác, trong đó mỗi tệp có vai trò khác nhau nhưng đều góp phần che giấu, bảo vệ nhau trước các công cụ phòng chống mã độc truyền thống. Các tệp cũng đồng thời liên tục kết nối với máy chủ điều khiển để cập nhật file thực thi, duy trì một tiến trình chạy đào tiền ảo trên máy.
Dấu hiệu đơn giản nhất của việc bị lây nhiễm virus này là Unikey hoặc Vietkey của bạn đột nhiên biến mất và không thể nào cài lại.
Lời khuyên từ các chuyên gia của CyRadar là người dùng, các tổ chức cá nhân sử dụng máy Windows phải thường xuyên cập nhật các bản vá lỗ hổng (khuyến cáo để chế độ Auto Update) hoặc tối thiểu thực hiện tải và cài riêng bản vá MS17-010. Bên cạnh đó, người dùng cũng nên tránh truy cập những đường link lạ để có thể ngăn chặn việc lây nhiễm các loại virus mới.
Đ.Huệ