XRobots do chú nào trường ta làm vậy?

XRobots do chú nào trường ta làm vậy?

Hai hôm vừa rồi những người sử dụng Yahoo Messenger ở Việt Nam đã hoảng loạn khi một con worms tên xRobots đã lây lan do chú B.H.N nào đó sinh năm 1985 trường Trần Phú phát tán. Con worm này dùng những lời lẽ khêu gợi kiểu "gái xinh, gái xinh", "ảnh đẹp, ảnh đẹp", "phim hay..." để khi người dùng click vào link đó thì worm của chú tự động ém vô rồi disable rege*** và tự động gửi linh cho một loạt contact khác trong list friend của người sử dụng YM. Chú này còn "chơi đẹp" tới mức "ban phước" cho trường ta bằng cách tạo homepage cho tất cả những chú dính virus của chú là một forum của trường Năng khiếu Trần Phú. Funny thật.

Theo thông tin mới nhất thì chú này đã nhận lỗi và viết thư gửi một loạt tờ báo online trên mạng. Ai có thông tin về ông tướng này thì update cho mọi người nghe với nhỉ.




Được Tristian_the_Fall sửa chữa / chuyển vào 19:43 ngày 11/04/2006

Tác giả sâu máy tính xRobots là ai?
VietNamNet) - Sau khi VietNamNet đưa tin Cảnh báo virus mới lây qua Yahoo Messenger tại VN và cách tiêu diệt worm máy tính này, qua mục phản hồi ý kiến, Toà soạn nhận được một lá thư xin lỗi của một người tự xưng là tác giả gây ra vụ lây nhiễm worm xRobots thông qua Yahoo Messenger trong ngày hôm qua (10/4).
Sau khi trao đổi lại bằng e-mail và nhận được thư trả lời, VietNamNet nhận thấy có cơ sở để tin rằng người đã đăng ký và sở hữu tên miền xrobots.net và người phản hồi về Toà soạn là một.
Cơ sở để tin rằng người đã đăng ký và sở hữu tên miền xrobots.net và người phản hồi về Toà soạn VietNamNet là một.
Sâu máy tính này thuộc dạng "sơ cấp", phương thức lây nhiễm không đặc biệt, tác hại ảnh hưởng không lớn. Nhưng do vấn đề nằm ở ý thức của người dùng Internet Việt Nam còn bất cẩn, chúng tôi quyết định đăng tải lá thư xin lỗi này để bạn đọc VietNamNet có thêm thông tin. Tuy nhiên, Việt Nam không thể khẳng định 100% đây là tác giả đã phát tán worm xrobots hay không. Sau đây là toàn văn nội dung lá thư:
Họ tên: xRobots
Tiêu đề: Xin lỗi tất cả mọi người!
Nội dung: Chào mọi người. Trước hết tôi xin tự giới thiệu, tôi là người đã viết những đoạn mã đầu tiên cho chương trình xRobots của mình. Thực sự cho đến bây giờ mọi người đã quen gọi nó với cái tên "gái xinh".
Tốc độ lây lan, đồng nghĩa với ý thức cảnh giác của ng sử dụng Yahoo khiến cho tôi thực sự bất ngờ. Tôi nghiên cứu về bảo mật, và mới bắt đầu nghiên cứu các cách phòng chống DoS, cũng như việc dùng botnet để DoS cách đây không lâu. Tôi viết con BOT worm kia không phải vì mục đích phá hoại, mà thực sự để chỉ để kiểm tra khả năng bị DoS qua mạng botnet như thế nào.
Mọi người có thể thấy, ngoài tác dụng lây lan, nó không hề có 1 ảnh hưởng lớn nào tới hệ thống của bạn. Và thực sự tôi cũng không gây khó khăn đối với việc gỡ bỏ nó ra khỏi hệ thống bị nhiễm. Nhưng thực tế nó đã gây ra phiền phức cho rất nhiều người và được cảnh báo ở mức độ nghiêm trọng. Điều đó khiến tôi rất hối tiếc và thực sự muốn xin lỗi mọi người!
Tôi không phải là remy như mọi người đã đồn thổi, con BOT của tôi cũng không phải cái tên là RemyBot như người ta đã đặt trên báo. Xrobots, đây là cái tên tên tôi tạm gọi cho nó (cũng giống như tên mà VietNamNet và một trung tâm nghiên cứu bảo mật đã gọi - NV). Domain của tôi cũng không phải được đăng ký cách đây 2 ngày, mà từ 1 tháng trước. Còn điều làm tôi không ngờ nhất, đó chính là ý thức bảo mật quá chủ quan của rất nhiều người trong cộng đồng Internet Việt Nam.
Tuy nhiên, hy vọng trong thời gian tới, mọi người sẽ có ý thức cao hơn trong việc bảo vệ chính mình. Cho đến bây giờ tôi cũng đã có được những kinh nghiệm nhất định trong việc phòng chống DoS, ngoài những cách cũ như Ping of Death, SiN, hay là x-Flash tại VN, và đương nhiên là cả botnet.
Tôi hy vọng rằng với những kinh nghiệm mình có, tôi có thể trao đổi, giúp đỡ những nạn nhân của tấn công DoS. Tôi rất cảm ơn các cơ quan chức năng đã kịp thời phong tỏa domain xrobots.net ngay khi nhận biết được thông tin. Vì thực sự khi ấy tôi cũng chưa hệ biết những con bot của mình đã lây lan đến đâu. Và cũng kịp thời đưa ra được giải pháp khắc phục các lỗi do chương trình của tôi gây nên.
Một lần nữa tôi xin lỗi tôi toàn thể những người đã vô ý click vào link của tôi. Tôi đã phong tỏa hoàn toàn hệ thống của mình. Những ai gặp rắc rối liên quan đến virus hoặc nạn nhân của những đợt tấn công DoS có thể liên hệ trực tiếp với tôi qua xrobots.network@gmail.com để có được giải pháp. Tôi rất mong mọi người thông cảm và tha lỗi.
18001255)

NHẮN MỘT TIN, XEM VẠN SỰ

Bạn muốn ngồi một nơi, biết vạn sự?
Chỉ cần soạn tin:
VS
Gư?i đến số 996
Bạn sẽ nhận được mọi thông tin nóng hổi va? lý thú trong nga?y
(Phí dịch vụ: 2000đ, số máy hỗ trợ: 18001255)


Tác giả sâu máy tính xRobots là ai?
16:05'' 11/04/2006 (GMT+7)
(VietNamNet) - Sau khi VietNamNet đưa tin Cảnh báo virus mới lây qua Yahoo Messenger tại VN và cách tiêu diệt worm máy tính này, qua mục phản hồi ý kiến, Toà soạn nhận được một lá thư xin lỗi của một người tự xưng là tác giả gây ra vụ lây nhiễm worm xRobots thông qua Yahoo Messenger trong ngày hôm qua (10/4).
>> "Giải phẫu" và tiêu diệt worm XRobot lây qua chat Y!M
>> Cảnh báo virus mới lây qua Yahoo Messenger tại VN
Sau khi trao đổi lại bằng e-mail và nhận được thư trả lời, VietNamNet nhận thấy có cơ sở để tin rằng người đã đăng ký và sở hữu tên miền xrobots.net và người phản hồi về Toà soạn là một.

Cơ sở để tin rằng người đã đăng ký và sở hữu tên miền xrobots.net và người phản hồi về Toà soạn VietNamNet là một.
Sâu máy tính này thuộc dạng "sơ cấp", phương thức lây nhiễm không đặc biệt, tác hại ảnh hưởng không lớn. Nhưng do vấn đề nằm ở ý thức của người dùng Internet Việt Nam còn bất cẩn, chúng tôi quyết định đăng tải lá thư xin lỗi này để bạn đọc VietNamNet có thêm thông tin. Tuy nhiên, Việt Nam không thể khẳng định 100% đây là tác giả đã phát tán worm xrobots hay không. Sau đây là toàn văn nội dung lá thư:
Họ tên: xRobots
Tiêu đề: Xin lỗi tất cả mọi người!
Nội dung: Chào mọi người. Trước hết tôi xin tự giới thiệu, tôi là người đã viết những đoạn mã đầu tiên cho chương trình xRobots của mình. Thực sự cho đến bây giờ mọi người đã quen gọi nó với cái tên "gái xinh".
Tốc độ lây lan, đồng nghĩa với ý thức cảnh giác của ng sử dụng Yahoo khiến cho tôi thực sự bất ngờ. Tôi nghiên cứu về bảo mật, và mới bắt đầu nghiên cứu các cách phòng chống DoS, cũng như việc dùng botnet để DoS cách đây không lâu. Tôi viết con BOT worm kia không phải vì mục đích phá hoại, mà thực sự để chỉ để kiểm tra khả năng bị DoS qua mạng botnet như thế nào.
Mọi người có thể thấy, ngoài tác dụng lây lan, nó không hề có 1 ảnh hưởng lớn nào tới hệ thống của bạn. Và thực sự tôi cũng không gây khó khăn đối với việc gỡ bỏ nó ra khỏi hệ thống bị nhiễm. Nhưng thực tế nó đã gây ra phiền phức cho rất nhiều người và được cảnh báo ở mức độ nghiêm trọng. Điều đó khiến tôi rất hối tiếc và thực sự muốn xin lỗi mọi người!
Tôi không phải là remy như mọi người đã đồn thổi, con BOT của tôi cũng không phải cái tên là RemyBot như người ta đã đặt trên báo. Xrobots, đây là cái tên tên tôi tạm gọi cho nó (cũng giống như tên mà VietNamNet và một trung tâm nghiên cứu bảo mật đã gọi - NV). Domain của tôi cũng không phải được đăng ký cách đây 2 ngày, mà từ 1 tháng trước. Còn điều làm tôi không ngờ nhất, đó chính là ý thức bảo mật quá chủ quan của rất nhiều người trong cộng đồng Internet Việt Nam.
Tuy nhiên, hy vọng trong thời gian tới, mọi người sẽ có ý thức cao hơn trong việc bảo vệ chính mình. Cho đến bây giờ tôi cũng đã có được những kinh nghiệm nhất định trong việc phòng chống DoS, ngoài những cách cũ như Ping of Death, SiN, hay là x-Flash tại VN, và đương nhiên là cả botnet.
Tôi hy vọng rằng với những kinh nghiệm mình có, tôi có thể trao đổi, giúp đỡ những nạn nhân của tấn công DoS. Tôi rất cảm ơn các cơ quan chức năng đã kịp thời phong tỏa domain xrobots.net ngay khi nhận biết được thông tin. Vì thực sự khi ấy tôi cũng chưa hệ biết những con bot của mình đã lây lan đến đâu. Và cũng kịp thời đưa ra được giải pháp khắc phục các lỗi do chương trình của tôi gây nên.
Một lần nữa tôi xin lỗi tôi toàn thể những người đã vô ý click vào link của tôi. Tôi đã phong tỏa hoàn toàn hệ thống của mình. Những ai gặp rắc rối liên quan đến virus hoặc nạn nhân của những đợt tấn công DoS có thể liên hệ trực tiếp với tôi qua xrobots.network@gmail.com để có được giải pháp. Tôi rất mong mọi người thông cảm và tha lỗi.
Tác giả xRobots


Trao đổi với PV VietNamNet sáng 11/4, ông Nguyễn Tử Quảng, Giám đốc Trung tâm BKIS khẳng định đã liên lạc với kẻ viết và phát tán Virus GaiXinh ngày 10/4/2006 qua hai số điện thoại, một số điện thoại di động và một số điện thoại cố định đầu 04. Kẻ bị BKIS tình nghi từ trước này đã chính thức nhận việc viết và phát tán hai biến thể Virus GaiXinh trong ngày 10/4.

Thông tin cụ thể cho biết hacker là một sinh viên ngoại tỉnh đang trọ học tại Hà Nội, và học ở một trường Đại Học không phải chuyên ngành CNTT. Người này tên B.H.N , sinh năm 1985.

Sau khi chính thức nhận lỗi, B.H.N cho biết động cơ tiến hành viết và phát tán Virus là vì "nghiên cứu", tuy nhiên cậu ta không ngờ Virus của mình phát tán với tốc độ khủng khiếp như thế và ngay sau đó đã không kiểm soát nổi.
Thế Phong (ghi)
Trong nội dung trao đổi qua email, tác giả xRobots cho biết cũng đã xác định đã chuẩn bị tinh thần để làm việc với cơ quan điều tra. Cậu ta cho rằng nếu nhìn kỹ vào việc xây dựng và viết sâu xrobots thì có thể thấy mục đích là để nghiên cứu chứ không phải phá hoại.
Cũng trong sáng nay (11/4), Trung tâm An ninh mạng BKIS gửi thông cáo về sâu xrobots (đặt tên là W32.GaixinhYM.Worm) tới các báo, hướng dẫn cách gỡ bỏ worm này khỏi máy tính và phân tích các hoạt động của nó.
Trong bản thông cáo, ông Nguyễn Tử Quảng, Giám đốc Trung tâm an ninh mạng BKIS cũng cho biết: "Về cơ bản đã khẳng định được thủ phạm tạo ra virus này. Đã xác minh được tên, số điện thoại, địa chỉ của kẻ bị tình nghi"... BKIS đã "tiến hành một phép thử để ?onắn gân? nghi phạm, phép thử này có kết quả ngay. Có vẻ như đã tìm đúng thủ phạm, người này có lẽ đã thấy sợ nên lập tức nguồn phát tán virus trên Internet đã được ?ohạ xuống?.
Tuy nhiên, trong email trả lời VietNamNet lúc 12h40 của Tác giả xRobots, người đã viết bức thư xin lỗi trên, người này lại khẳng định "chưa hề làm việc với ông Nguyễn Tử Quảng bao giờ!". Tuy nhiên, vào lúc 16h47p chiều nay, tác giả xRobots gửi lại một e-mail khác xác nhận đã được ông Nguyễn Tử Quảng liên hệ sau khi trao đổi qua e-mail với VietNamNet.
Tác giả xRobots cũng giải thích trong e-mail rằng "việc tên miền xrobots.net bị chặn là do nhiều người gửi email report về nhà cung cấp dịch vụ hosting, thông báo tên miền này có tranh chấp". Do vậy tên miền này đã bị khoá, chứ không phải tự cậu ta chủ động hạ xuống.
Không loại trừ khả năng nhân vật thủ phạm mà BKIS đề cập tới và người gửi thư xin lỗi về VietNamNet không phải chỉ có một người. Tuy nhiên, việc xác định chính xác tác giả đã phát tán sâu xrobots có lẽ chỉ còn là vấn đề thời gian. Chúng ta hãy cùng chờ xem.
B.M.
(Nguồn: http://www.vietnamnet.com.vn/cntt/2006/04/559302/ )

Kết thúc có hậu cho "câu chuyện xRobots"
05:04'' 15/04/2006 (GMT+7)
(VietNamNet) - ?oTôi phân tích virus và nghiên cứu kiến trúc nên tảng Windows vì đam mê cá nhân. Đây là một công việc rất dễ gây ra các sai lầm nghiêm trọng, ảnh hưởng lớn đến cộng đồng, mong các bạn có cùng sở thích hãy suy nghĩ và hành động thật nghiêm túc?. Nguyễn Phố Sơn, sinh viên năm 3 khoa Điện tử-viễn thông ĐHBKHN, hiện là cộng tác viên của Trung tâm ứng cứu sự cố máy tính quốc gia VNCERT, tâm sự khi thuật lại ca "giải phẫu" và chế ngự xRobots, worm đã lây lan qua Yahoo Messenger trong cộng đồng Internet VN mới đây.

Nguyễn Phố Sơn: "...Mong các bạn có cùng sở thích hãy suy nghĩ và hành động thật nghiêm túc?.
Tôi nhận được một tin nhắn và năm cuộc gọi nhỡ vào giờ giải lao, nội dung rất ngắn gọn : ?oSlight VN viral outbreaking, online ASAP and chkmail? (một con virus VN "hạng xoàng" đang lây lan, online càng sớm càng tốt và check mail). Ngay lập tức tôi trở về nhà và online, một màn hình đầy ắp các cửa sổ Yahoo! Messenger của hàng chục người bạn gửi tới. Trong đầu tôi chợt nghĩ: ?oSlight mà như thế này sao? Hàng chục người bạn này đang ở rất nhiều khu vực và quốc gia khác nhau!?. Tất cả các tin nhắn hầu như chỉ có cùng một nội dung. ?oEm nay xinh lam, nhin ma fe http://xrobots.../Gift/?file=Gaixinh.jpg? rồi "Xem thu cai nay di http://xrobots.../Gift/?file=Anhdep.jpg". Nếu click vào các đường link, hộp thoại Save as file .exe hiện ra, ? , à đúng là Slight thật!
Kiểm tra email công việc, tôi nhận được đầy đủ thông tin sơ bộ về virus và các yêu cầu phải xử lý. Vậy là có chuyện rồi! Tôi gửi message (tin nhắn) cho nhiều người để xin thêm các sample (mẫu) khác của xRobots, rất nhiều mẫu đã được gởi về đến tận ngày hôm sau.
Giải phẫu sơ bộ
Trong giới nghiên cứu virus trên thế giới có một thông điệp rất rõ ràng : ?oVirus hay worm không có gì là xấu xa, vấn đề tồi tệ xuất phát từ những kẻ lợi dụng virus/worm cho các mưu đồ và động cơ đen tối của mình?.

Việc đầu tiên, tôi phải kiểm tra xem worm đó có được pack lại bằng packer hay không. Packer là các chương trình nén, mã hóa file exe, dll, ocx .. Khi file được nén thi hành, nó sẽ tự giải mã, giải nén và thi hành như bình thường. Packer được sử dụng với mục đích ban đầu là chống lại các cracker bẻ khóa phần mềm, nhằm thay đổi cấu trúc của file, chống debug và làm cho công việc của cracker khó khăn hơn. Tuy nhiên, virus và worm hiện nay đã lợi dụng loại phần mềm này để qua mặt các chương trình quét virus, cũng như làm cho việc phân tích virus gặp nhiều cản trở hơn.
Với con worm này, tác giả của nó đã pack lại bằng packer có tên UPX ?" một packer rất bình thường. Tôi unpack và bắt đầu dissasembly nó.
Tôi dùng IDA Pro để assembly. Mọi người đều dissasembly bằng IDA Pro. Đây là công cụ dissasembly mạnh nhất và hữu dụng nhất với hàng loạt tính năng cũng như hỗ trợ plugin và script riêng cho công việc phân tích. Bật IDA Pro, đưa file đã unpack vào và quay sang chạy VMWare. VMWare là phần mềm giả lập một máy tính thực sự, nó cho phép bạn chạy một chiếc máy tính giả lập trên một chiếc máy tính thật. Chiếc máy giả lập này giống hệt một chiếc máy tính thật sự. Khi phân tích, tất nhiên không thể chạy worm trên máy tính đang dùng, tôi thử nghiệm xRobots trên môi trường VMWare.
IDA Pro và VMWare chạy song song ngốn RAM khủng khiếp. Tôi chỉ có 256MB RAM cùng chiếc CPU P4 1,8GHz. VMWare giật loạn xạ. Không thể làm gì trong lúc máy tính như vậy. Có lẽ sẽ mất 1 tiếng nữa để IDA Pro hoàn thành công việc. Bụng đói cồn cào, tôi đi tìm một chiếc bánh mì!
Tìm lời giải
Như mọi lần dissasembly, việc đầu tiên tôi sẽ phải lướt qua các string có sẵn trong virus. Nó cho phép tôi tìm được một số manh mối đầu tiên để tiến hành công việc phân tích. Vấn đề thường gặp nhất với dissasembly là sự rời rạc. Phần code này của chương trình sẽ hầu như không có ý nghĩa gì cho đến khi bạn hiểu các phần code khác của chương trình ấy. Bạn sẽ chẳng hiểu chương trình ấy sẽ làm gì, hoạt động thế nào cho đến khi bạn hiểu chính xác chương trình gọi hàm nào, với biến gì và làm gì với chúng. Thường, bạn phải suy luận và phán đoán để có một định hướng. Và các string trong chương trình sẽ gợi ý cho bạn để xây dựng các phán đoán này.
Không có gì đặc biệt. Tôi thử search các chuỗi như ?oYahoo!!!? hoặc ?oxrobots? nhưng không hề thấy kết quả gì. Uhmm, có lẽ tác giả đã encrypt các xâu này và worm khi hoạt động sẽ tự động giải mã nó khi cần đến. Cần phải xem hoạt động của nó thế nào đã. Chạy sang VMWare, tôi bật Regmon và Filemon. Thanh cuốn của Regmon chạy liên tục, save kết quả tương tác của Xrobots với registry ra dạng text, và tìm kiếm với từ khóa Run. Đúng thật, con worm này có ghi vào registry một string value có tên là ?oYahoo!!!?. Vậy vấn đề là cần biết khi nào nó giải mã và sử dụng chuỗi này.
Quay sang IDA, tôi tiếp tục tìm hiểu thêm về hoạt động của nó. Nó được coding bằng Microsoft Visual C++ 6.0, quá trình dissasembly dẫn tôi tới các string liên tiếp như sau:


Trông giống như cú pháp script vậy. Có lẽ nào đây là một loader chạy script được tích hợp phía bên trong nó? Nếu là script loader, chắc phải có một string nào đó chứa tên của nó. Ngừng việc dissassembly, tôi trở lại với việc search string, và có vẻ như tôi đã tìm thấy tên của loại script loader này ?" AutoIt v3:


Như vậy, phán đoán dùng script để viết worm này là chính xác.
Với Google, tôi đã có được vài thông tin quan trọng về AutoIt. Và trong số những thông tin ấy, tôi tìm thấy một thông tin quan trọng nhất: có thể extract script của AutoIt từ file exe đã biên dịch, kể cả những comment có trong script của chính tác giả của script. Điều này có 2 ý nghĩa: thứ nhất, tôi có thể sẽ tiết kiệm thời gian được bằng cách dùng phần mềm đó lấy mã của worm; thứ hai, mã script của worm được lưu giữ trong file EXE, có thể được mã hóa (đó chính là lý do tại sao tôi lại không thể tìm thấy xâu ký tự ?oYahoo!!!? hoặc ?oxrobots?). Như vậy, cơ chế hoạt động của AutoIt có thể phán đoán như sau:
- File exe được thi hành.
- Phần loader sẽ extract, giải mã phần script được mã hóa.
- Thông dịch và chạy dựa trên script đã được giải mã.
Đầu tiên tôi thử dùng phần mềm Exe2au để lấy source script. Tuy nhiên, file EXE đã bị pack bằng UPX nên Exe2au không thể lấy ra được đoạn script gốc của worm. Đành phải debug con worm này và tìm ra ở đâu AutoIt giải mã đoạn script ấy.
Đến lượt Olly hoạt động. Đã biết là worm này sẽ tạo value ?oYahoo!!!? trong registry để worm có thể chạy mỗi khi Windows khởi động, tôi set một breakpoint vào API RegSetValueExA. Tại sao tôi lại làm như vậy? Tôi phán đoán rằng, khi worm thực hiện công việc viết vào registry, phần script của nó đã được AutoIt giải mã và thông dịch lại. Nghĩa là, phần script của nó chắc chắn sẽ có trong bộ nhớ. Vấn đề là phải tìm được AutoIt sẽ giải mã ở đâu mà thôi.


Không lâu lắm, tôi đến được đây. Search trong các vùng heap, nhanh chóng tôi nhận ra vùng nhớ chứa một loạt các chuỗi giống như script:


Tôi đã tìm thấy các đoạn script gốc của worm!!! Vẫn chưa hoàn thiện, tôi cần tìm thêm để đạt tới chính xác đoạn mã mà AutoIt extract các script này. Không mất nhiều thời gian, tôi đã hoàn toàn extract được toàn bộ đoạn code có trong nó:


Việc tiếp theo là kết hợp cả phân tích source script, cả Filemon va Regmon để hoàn thành báo cáo các hành vi của con worm này. Sau đó, tôi viết một chương trình nhỏ để remove nó ra khỏi hệ điều hành. Tôi đã gửi bản báo cáo đi cùng với Xrobots Remover và yêu cầu thử nghiệm khả năng hoạt động của nó. Tôi tranh thủ ngủ một tý!
Tung tích tác giả
Tiếng chuông điện thoại kéo dồn dập bên tai, tôi bừng tỉnh. Mệt quá! Tôi nhận được thêm 2 sample khác. Nghĩa là có 3 biến thể cho xRobots worm. Lần này, bật Olly lên, tìm tới source script chứa trong 2 biến thể mới này, tôi nhận thấy có vẻ như tác giả của con worm đã để lại danh tính của mình thông phần comment trong file script gốc. Ở biến thể tôi phân tích vào lúc 9:15 PM thì đó là ?oH. L.?:
Biến thể 1:



Trong 2 biến thể nhận được thì chỉ có một biến thể chứa một cái tên mà có thể là tên tác giả con worm đó.
Biến thể 2:


Biến thể 3:



?oH. N." và ?oH. L.?. Bằng một phép search Google, tôi dễ dàng tìm ra H. N. trên một forum, kèm theo cả ngày sinh, trường học. Theo tôi, anh ta không hề có ý định che giấu thân phận của mình, hoặc không đủ khả năng làm việc này!
Phần việc điều tra cụ thể còn lại và biện pháp răn đe là của cơ quan điều tra, tôi chỉ thực hiện nhiệm vụ phân tích của mình và bàn giao kết quả cho cơ quan điều phối quốc gia VNCERT. Công cụ remove xRobots khỏi máy tính bị nhiễm cũng đã được hoàn thành và chạy ổn định. Cuộc giải phẫu đã kết thúc tốt đẹp.
Nguyễn Phố Sơn - CTV Trung tâm VNCERT
Cập nhật: Ngay sau khi bài viết này được xuất bản, một số ý kiến phản hồi về VietNamNet đã tranh luận về thời điểm bạn Nguyễn Phố Sơn thực hiện việc giải mã worm xRobots, cho rằng quá trình phân tích và giải mã toàn bộ này phải muộn hơn đêm 10/4, sau khi đã có một số đánh giá khác về con sâu máy tính lây qua YM này. Để đảm bảo tính chính xác của bài viết, VietNamNet quyết định tạm lược bỏ yếu tố thời gian, và xem đây là bài viết thuật lại quá trình giải mã xRobots mà Sơn đã thực hiện. Các thông tin cụ thể hơn sẽ được tiếp tục cập nhật sau.
LTS: Quá trình truy tìm xuất xứ sâu xRobots của Sơn đã chỉ ra tên đầy đủ của tác giả, tuy nhiên chúng tôi đã sửa lại thành tên viết tắt để đảm bảo không tiết lộ danh tính theo đề nghị của người này.
Qua trao đổi trực tiếp với người đã tạo ra và phát tán xRobots, là một sinh viên còn rất trẻ cũng ở độ tuổi của Sơn, VietNamNet nhận thấy sự chân thực của H.N. Đúng là N. đã không hề có ý định che giấu thân phận của mình khi tạo ra con worm chỉ với mục đích nghiên cứu chứ không phải để phá hoại.
H.N. đã làm việc với cơ quan điều tra ngay sau hôm worm xRobots phát tán, khai báo toàn bộ sự việc và giao nộp ổ cứng máy tính của mình để phục vụ công tác điều tra. H.N. cũng đã chủ động tìm cách diệt từ xa các sâu xRobots trên các máy tính bị nhiễm, nhưng không kịp vì website bị khoá quyền quản trị. H.N. cũng đã chủ động gửi email xin lỗi những người vô tình bị nhiễm xRobots trên VietNamNet và các tờ báo khác.
Xét ở khía cạnh tích cực, xRobots phần nào cũng đã giúp người dùng YM tại Việt Nam có ý thức thận trọng hơn khi bấm vào các đường link do bạn bè gửi tới qua chat. Cũng tương tự như trước đây, người dùng VN có thể dễ dàng bị lây nhiễm virus qua email của người quen gửi tới, nhưng bây giờ họ đã thận trọng hơn.
xRobots cũng chỉ là một dạng worm ở mức slight (đơn giản, thông thường), nhưng cách thức lây nhiễm của nó vào hàng chục ngàn máy tính qua Y!M là khá sáng tạo. H.N. cho biết quá trình lây nhiễm xRobots không dựa vào lỗi bảo mật nào, mà do sự bất cẩn, ý thức bảo mật kém và thói quen thông thường của người sử dụng Y!M. Trong lĩnh vực bảo mật, đây là cách lây nhiễm dựa vào "common sense" (quan niệm thông thường), còn hiệu quả hơn nhiều so với việc lây lan dựa vào lỗi bảo mật.
H.N và Sơn đều là những sinh viên trẻ tuổi, có niềm đam mê nghiên cứu máy tính với mục đích tích cực. Sơn đã giải mã thành công và tạo ra công cụ gỡ bỏ xRobots, một công việc mà đôi khi phải huy động nhiều chuyên gia nghiên cứu về virus cùng thực hiện. Họ là những tài năng trẻ cần được tạo điều kiện, định hướng đúng để có thể phát huy tối đa khả năng vào những mục đích tốt.
Hy vọng sẽ có một kết thúc có hậu cho vụ việc xRobots, vì nó chưa gây hậu quả nghiêm trọng. Hy vọng danh tính của H.N, với sự khoan hồng của cơ quan điều tra, sẽ được giữ kín, và không bị coi như một thứ "chiến lợi phẩm" dùng để phô trương thành tích trên mặt báo. H.N cho biết: "Mong muốn lớn nhất của em lúc này là tiếp tục việc học tập và nghiên cứu của mình".
B.M.V.

(Theo VietNamNet
http://www.vietnamnet.com.vn/cntt/2006/04/560653/ )