"Giống như một người bị dính dầu gió trên mũi, đi đâu cũng ngửi thấy và nghĩ xunh quanh có ai đó bôi dầu, dòng virus W32.Dashfer nhiễm vào PC sẽ khiến nạn nhân truy cập site nào cũng tưởng trang này bị chèn mã độc", chuyên gia BKIS Vũ Ngọc Sơn mô tả loại sâu đang có mức lây lan lớn nhất ở VN.

Quá trình chèn banner, popup của virus giả mạo gateway. Ảnh: BKIS.

Thực tế là virus nằm trong một hoặc nhiều máy tính mà máy nạn nhận có cùng kết nối mạng. Với phương thức "tung hỏa mù", loại virus này khi chui được vào một PC sẽ gửi broadcast gói tin theo giao thức ARP (giao thức phân giải địa chỉ) tới tất cả các máy tính khác trong cùng mạng để mạo danh là Gateway của hệ thống. Các kết nối ra Internet của tất cả các máy tính trong mạng lúc này sẽ bị lừa đi qua gateway giả mạo trước, rồi sau đó mới tới gateway thật. Bằng cách này, mã độc sẽ kiểm soát được toàn bộ quá trình trao đổi dữ liệu và chèn thêm iframe có chứa mã độc vào nội dung các trang web trước khi chúng được trả về cho máy tính của người sử dụng. "Đây chính là cơ chế khiến người sử dụng, nếu bị nhiễm virus thì cứ truy cập vào các trang web... đều thấy có hiện tượng có vẻ như gặp virus", ông Sơn nhận định.

Trung tâm BKIS cho biết mới đây, cả trăm máy tính của Văn phòng một cơ quan Bộ đã bị dính một biến thể của loại virus này có tên là W32.FialaM. Cũng chính mã độc này đang khiến Yahoo Messenger bị hàm oan vì có dư luận cho rằng banner quảng cáo phía dưới phần mềm chat này đã bị cài virus làm lây nhiễm sang nhiều người. "Thực ra, Yahoo Messenger không liên quan đến sự việc này, do hệ thống mạng của người sử dụng đang bị virus, nên họ vào bất cứ trang web nào đều thấy bị chèn iframe chứa mã độc. Login vào Yahoo Messenger thì cũng sẽ thấy như vậy", chuyên gia của BKIS khẳng định.

W32.FialaM là biến thể của dòng virus W32.Dashfer, thuộc loại virus giả mạo gateway có xuất xứ từ Trung Quốc. Họ sâu này xuất hiện từ tháng 12/2007 và cho tới thời điểm hiện nay liên tục nằm trong Top 5 những virus lây lan nhiều nhất hằng tháng.