Một loại virus từng làm mưa làm gió những năm 90 vừa quay lại tấn công người dùng Windows

Một loại virus quen thuộc đang quay lại phá hủy các máy chạy Windows

Những ai ghé thăm website FossHub vào thứ ba vừa qua để download bộ Classic Shell thay thế Start Menu hay phần mềm chỉnh sửa audio Audacity đều có nguy cơ gặp phải một loại virus từng làm mưa làm gió những năm 90. Đoạn mã độc này được một nhóm hacker tự nhận là Pegglecrew viết ra.

Youtuber danooct1 giải thích rằng chương trình của Pegglecrew khá mới và không thể bị phát hiện bởi các trang như VirusTotal. Bộ cài đặt fake của các phần mềm trên thậm chí cũng cùng kích cỡ file với bộ cài đặt gốc. Khi người dùng mở phiên bản chứa mã độc của Audacity hay Class Shell, chúng đều có vẻ như chẳng làm gì nguy hại, thế nhưng khi khởi động lại, người dùng sẽ được “chào đón” bằng một đoạn tin nhắn như sau:

(Tạm dịch là "Khi khởi động lại máy, bạn sẽ thấy thứ được viết đè lên MBR! Thật buồn là cuộc hành trình của bạn phải chấm dứt ở đây rồi! Hãy gửi tất sự nguyền rủa của bạn đến Pegglecrew (@cultofrazer trên Twitter)".

Mục tiêu của virus này không hoàn toàn là phá hủy tất cả, nhưng nội dung lời nhắn cũng đã khẳng định lý do tại sao các máy tính đã nhiễm nó sẽ không còn hoạt động được như trước nữa.

Một số người dùng Twitter cũng phản ánh rằng virus của Pegglecrew đã xuất hiện trên rất nhiều máy tính khác nhau. Thật trớ trêu là tài khoản Twitter của cultofrazer của nhóm hacker này cũng có vẻ nhưng ngừng hoạt động hoặc đã bị hack. Hiện vẫn chưa rõ liệu virus này có để lại hậu quả khủng khiếp nào ngoài những mẩu tin nhắn khó chịu kia không.

Trong một email gửi Softpedia, một người tự nhận là thành viên Pegglecrew có viết:

“...một mạng dịch vụ bảo mật lỏng lẻo (FossHub) đã trở thành đối tượng của chúng tôi. Chúng tôi đã thu thập được dữ liệu từ mạng dịch vụ này để lấy được mã nguồn và password thâm nhập sâu vào hệ thống của FossHub, cuối cùng là kiểm soát được các máy chủ, backup, giao thức chuyển nhượng tập tin,… cùng email Google theo tên miền app của họ.”

Trong phần tên của mình, FossHub tự giới thiệu là “Không adware, không spyware, không bundle, không malware”, nhưng cuối cùng nhưng điều này cũng bị nhóm hacker chứng tỏ không phải lúc nào cũng đúng. Nhóm hacker cũng khẳng định "sau khi thông tin được truyền đi và các admin FossHub đã phục hồi lại website thì chúng tôi cũng đã thay thế hết các bộ cài đặt Classic Shell và Audacity nhiễm độc trên máy chủ của FossHub bằng đoạn code viết đè lên MBR khi khởi động máy.”

Pegglecrew trước đây cũng từng đứng ra nhận trách nhiệm các vụ tấn công tài khoản Twitter của Ringo Starr và mục Super Smash Bros trên Reddit.

Hôm qua, Pegglecrew đã liên lạc với trang công nghệ Gizmodo giải thích về hành động của mình như sau: “Chúng tôi hack FossHub để cánh báo mọi người hãy bảo vệ máy tính của mình cẩn thận hơn…tất cả mọi người thực ra đều click vào những lời thúc giục ghi rằng họ có thể gặp nguy hiểm. Đây chính là một ví dụ cho thấy sự bất cẩn của họ trong việc đặt password cũng như các hoạt động bảo mật khác”.

Pegglecrew cũng ước tính việc download Classic Shell đã khiến khoảng 300 máy tính nhiễm độc nhưng cũng khẳng định loại virus này đã được họ sử dụng nhiều tháng trước đây. Thật may mắn là Pegglecrew cuối cùng cũng khẳng định malware của họ không gây tác động gì tới máy tính ngoài việc viết đè lên MBR ở màn hình khởi động máy. Điều này đã phần nào giải tỏa cơn phẫn nộ cho những người dùng đang “điên tiết” vì không khởi động lại được máy.

Tham khảo Gizmodo