Mã độc có tên DOUBLEPULSAR đang phát tán trên toàn thế giới

12:16 | 06/05/2017

Mã độc có tên DOUBLEPULSAR sử dụng bộ khai thác EXTERNALBLUE - được phát triển bởi nhóm tin tặc Equation Group (nhóm tin tặc được cho là có liên quan tới cơ quan an ninh Liên bang Mỹ - NSA) được tìm thấy trong hàng chục ngàn hệ thống trên toàn thế giới.



Mã độc này tấn công giao thức chia sẻ tệp tin thông báo của máy chủ (Server Message Block - SMB) phiên bản 1 của hãng Microsoft, giao thức này có trên những phiên bản Windows XP và Server 2008 R2.

Mã độc DOUBLEPULSAR có chức năng như một cửa hậu (backdoor) xâm nhập vào trong hệ thống và cho phép tin tặc chèn các tệp tin DDL (là một ngôn ngữ máy tính - Data Definition Language) bất kỳ vào máy chủ nạn nhân.

Trong khi hãng Microsoft đã phát hành bản vá cho bộ khai thác ETERNALBLUE và các lỗ hổng khác của SMB v1, thì tin tặc đã phát hiện ra và tiến hành lây nhiễm mã độc này trên hàng ngàn hệ thống chưa được cập nhật bản vá và mở giao thức chia sẻ tệp tin trên Internet.

Hãng an ninh BinaryEdge đã tiến hành quét độc lập và kiểm tra mã độc DOUBLEPULSAR. Sau khi quét gần 1,5 triệu máy chủ trong 80 giờ, kết quả cho thấy, ước tính cứ hơn 5 triệu máy chủ thì có tới 160.000 hệ thống bị nhiễm DOUBLEPULSAR.

Sau khi có thông tin trên, Microsoft cho biết, hãng đang tiến hành điều tra. Trong khi đó người dùng Windows chưa cập nhật MS17-010 tới thời điểm hiện tại được khuyến cáo ngay lập tức tải và triển khai các bản vá.