Cẩn thận với mã độc từ Việt Nam: Chúng được gửi dưới vỏ bọc rất cá nhân

  • Bởi Admin
    23/02/2014
    9 phản hồi

    Eva Galperin và Morgan Marquis-Boire<br />
    Hoàng Triết chuyển ngữ

    1606412_603355693052784_982325872_o.jpg

    Khi công nghệ mã hóa [encryption] đã trở nên phổ biến trong truyền thông trên mạng như là một biện pháp chống lại giám sát, những kẻ tấn công đã tìm cách đối phó với biện pháp này bằng cách ngấm ngầm cài đặt mã độc vào những máy tính trong tầm nhắm để ghi nhận từng phím bấm, theo dõi người sử dụng từ xa bằng chính ống kính thu hình [webcam] trên máy của họ, sao chép các cuộc gọi qua Skype, và nghe lén bằng microphone trong máy của người bị theo dõi. Có khi thì kẻ tấn công là một tội phạm, chẳng hạn như tin tặc sử dụng một công cụ truy cập từ xa [Remote access tool – RAT] để chụp ảnh của Hoa hậu Thiếu niên Hoa Kỳ [Miss Teen USA]. Có khi thì kẻ tấn công lại thuộc phe ủng hộ một chính quyền, chẳng hạn như những tên tin tặc thân Assad sử dụng mã độc tung những đợt tấn công vào phe đối lập; [những đợt tấn công] mà EFF đã và đang theo dõi từ hai năm nay. Có khi thì kẻ tấn công là một chính phủ hoặc một cơ quan an ninh pháp luật, chẳng hạn như việc ngấm ngầm cài đặt phần mềm theo dõi mục tiêu của các đội Hoạt Động Truy Cập Phù Hợp [Tailored Access Operations] thuộc Cơ Quan An Ninh Quốc Gia Hoa Kỳ.

    Mã độc là một công cụ đa số các chính quyền có trong hộp đồ nghề của mình, và Việt Nam cũng không ngoại lệ. Trong vài năm vừa qua, chính quyền Cộng Sản của Việt Nam đã sử dụng mã độc và RAT để theo dõi các phóng viên, nhà đấu tranh, nhà bất đồng chính kiến, và bloggers, trong khi họ đàn áp ngăn chặn đối kháng. Chiến dịch theo dõi mạng Internet của Việt Nam khởi đầu ít nhất là từ tháng 3 năm 2010 khi các kỹ sư phần mềm của Google khám phá ra phần mềm độc hại tấn công rộng rãi vào các máy tính do người Việt sử dụng. Các máy tính bị nhiễm mã độc được sử dụng để theo dõi chủ nhân của chúng cũng như để tham gia các cuộc tấn công từ chối dịch vụ DDoS trên những trang mạng bất đồng chính kiến. Chính phủ Việt Nam đã đàn áp mạnh các blogger đối kháng, thành phần duy nhất của quốc gia này đại diện cho báo chí độc lập. Theo một bản báo cáo 2013 từ Ủy ban Bảo vệ Ký Giả, Việt Nam hiện đang giam giữ 18 blogger và phóng viên báo chí, 14 trong số họ bị giam từ 1 năm trước đây.

    EFF đã có nhiều bài viết về tình hình ngày càng tồi tệ đối với các bloggers tại Việt Nam này. [VFF] cũng đã hỗ trợ các chiến dịch giải phóng những blogger cao cấp như Lê Quốc Quân và Điếu Cày, cũng như đã chỉ trích dự luật kiểm duyệt Internet của Việt Nam. Báo cáo này sẽ phân tích phần mềm độc hại tấn công chính nhân viên của EFF và một nhà toán học nổi tiếng.người Việt, một nhà đấu tranh dân chủ người Việt, và một phóng viên của AP tại Việt Nam.

    CHIẾN DỊCH TẤN CÔNG NHẮM VÀO EFF VÀ HÃNG THÔNG TẤN AP

    Chúng tôi sẽ bắt đầu với cuộc tấn công nhắm vào nhân viên của EFF. Cuộc tấn công này đánh dấu lần đầu tiên chúng tôi khám phá được những kẻ thuộc phe chính quyền sử dụng mã độc để tấn công vào tổ chức của chúng tôi.

    Vào ngày 20 tháng 12 năm 2013, hai nhân viên của EFF đã nhận được một điện thư từ “Andrew Oxfam,” mời họ tham dự một buổi “Hội Thảo Á Châu” và mời họ nhấn vào hai đường link để có thêm thông tin về buổi hội thảo và lời mời tham dự này. Hai đường link này rất đáng nghi vì chúng không thuộc máy chủ của Oxfam. Thay vào đó, nó đưa người được mời tham dự vào một trang mạng trên Google Drive, xem hình dưới. Thêm vào đó, điện thư này còn có cả hai file đính kèm về lời mời tham dự hội thảo này.

    Hành động tấn công này có một sự thú vị đặc biệt vì nó thể hiện một sự thông hiểu tâm lý về những gì những người tranh đấu quan tâm. Cũng như các phóng viên báo chí rất muốn mở các dữ liệu đính kèm về những câu chuyện scandal, cũng như những nhà ủng hộ phong trào đối kháng người Syria rất muốn mở những dữ liệu nó về sự lạm dụng bạo lực của chính quyền Assad, các nhà đấu tranh nhân quyền như chúng tôi rất muốn mở xem những dữ liệu mời mọc tham dự hội thảo. Để cho có vẻ thật hơn, những kẻ tấn công nên kèm theo trong đó nhã ý trang trả chi phí đi lại và khách sạn.

    Cả hai file đính kèm đều giống như nhau:

    351813270729b78fb2fe33be9c57fcd6f3828576171c7f404ed53af77cd91206 Invitation.hta
    351813270729b78fb2fe33be9c57fcd6f3828576171c7f404ed53af77cd91206 Location.hta

    Khả năng bị khám phá của dạng mã độc này rất thấp. Sử dụng Virus Total, chúng tôi thấy chỉ có 1 trong số 47 Cty bán sản phẩm phòng chống virút có thể nhận ra loại mã độc này, tính đến ngày 19/1/14.

    Mã độc này cũng được gửi đến một phóng viên AP dưới dạng một bài viết của tổ chức Giám Sát Nhân Quyền.

    Trong lần tấn công này, nhấn vào đường link trong điện thư sẽ đưa người sử dụng đến trang mạng chứa mã độc HTML (.hta) file.

    Dữ liệu chi tiết meta-data cho thấy thông tin sau:

    “Invitation.hta: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal, Revision Number: 2, Name of Creating Application: Microsoft Office Word, Total Editing Time: 01:00, Create Time/Date: Mon Nov 19 05:02:00 2012, Last Saved Time/Date: Mon Nov 19 05:02:00 2012, Number of Pages: 3, Number of Words: 395, Number of Characters: 2258, Security: 0”

    Đoạn HTML này có chứa một file đã mã hóa ở dạng .exe và cũng chứa một Microsoft Word file với tên gọi “baiviet.doc”.

    Khi người nhận được điện thư kích hoạt dữ liệu đính kèm, nó bỏ hai file này vào Local\Temp folder:

    C:\Users\admin\AppData\Local\Temp\baiviet.doc
    C:\Users\admin\AppData\Local\Temp\xftygv.exe

    Khi “baiviet.doc” hiện ra và “xftygv.exe” được kích hoạt, nó sẽ cài những file này trong máy:

    C:\Program Files\Common Files\microsoft shared\ink\InkObj.dat
    C:\Users\admin\AppData\Local\Temp\1959.tmp
    C:\Users\admin\AppData\Local\Temp\19A8.tmp
    C:\Users\admin\AppData\Local\Temp\1A65.tmp
    C:\Users\admin\AppData\Local\Temp\1D72.tmp
    C:\Users\admin\AppData\Roaming\HTML Help\help.dat
    C:\Users\admin\AppData\Roaming\KuGou7\status.dat
    C:\Users\admin\AppData\Roaming\Microsoft\Media Player\PLearnL.DAT
    C:\Users\admin\AppData\Roaming\Microsoft\Werfault\WerFault.exe
    C:\Windows\Performance\WinSAT\DataStore\Formal.Assessment.WinSAT.xml
    C:\Windows\Performance\WinSAT\ShaderCache.vs_3.0
    C:\Windows\System32\api-ms-win-core-xstate-l1-1-0.bin
    C:\Windows\System32\odbccr64.dll

    Một số thay đổi trong registry sẽ xảy ra để giúp phần mềm độc hại này tồn tại sau khi reboot và file api-ms-win-core-xstate-l1-1-0.bin sẽ được ghi vào process space của explorer.exe để mở một cổng kết nối trên port 443 đến yelp.webhop.org.

    Khi bản báo cáo này được công bố thì địa chỉ trên dẫn đến IP 62.75.204.91, nơi chứa các tên miền sau:

    tripadvisor.dyndns.info,
    neuro.dyndns-at-home.com,
    foursquare.dyndns.tv,
    wowwiki.dynalias.net,
    yelp.webhop.org

    Nó được sử dụng như một máy chủ chỉ huy và quản lý cho các phần mềm độc hại liên quan đến chính quyền Việt Nam khác:

    82f0db740c1a08c9d63c3bb13ddaf72c5183e9a141d3fbd1ffb9446ce5467113 bai viet.hta
    9c07d491e4ddcba98c79556c4cf31d9205a5f55445c1c2da563e80940d949356 Unhotien.doc

    Quan sát các phần mềm độc hại này cho thấy sự liên hệ đến các chiến dịch trước đây nhằm nhắm vào các nhà hoạt động người Việt.

    NHẮM VÀO CÁC BLOGGER VIỆT NAM

    Trong tháng Hai 2013, một blogger người Việt và một giáo sư toán học đã nhận được điện thư sau (xem hình).

    Cũng như mà độc tấn công EFF và hãng thông tấn AP, file đính kèm là một dữ liệu HTML. Trong trường hợp này, nó đã được nén ở dạng 7zip.

    2fa7ad4736e2bb1d50cbaec625c776cdb6fce0b8eb66035df32764d5a2a18013 Thu moi.7z

    Sau khi mở ra:

    dd100552f256426ce116c0b1155bcf45902d260d12ae080782cdc7b8f824f6e1 Thu moi.hta

    Dữ liệu chi tiết meta-data cho thấy như sau:

    Thu moi.hta: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Author: pluto, Template: Normal, Last Saved By: pluto, Revision Number: 2, Name of Creating Application: Microsoft Office Word, Total Editing Time: 07:00, Create Time/Date: Thu Mar 1 05:02:00 2012, Last Saved Time/Date: Thu Jan 24 09:28:00 2013, Number of Pages: 3, Number of Words: 277, Number of Characters: 1584, Security: 0

    Tương tự như cuộc tấn công đối với EFF và AP, dữ liệu HTML có chứa một file đã mã hóa ở dạng .exe (zzpauvooos.exe”) và một file (“Doc loi.doc”).

    Cho chạy “Thu moi.hta” hiện ra “Doc loi.doc” và cài hai file sau:

    C:\Users\admin\AppData\Local\Temp\Doc loi.doc
    C:\Users\admin\AppData\Local\Temp\zzpauvooos.exe

    Khi chạy “zzpauvooos.exe”, nó cài thêm file:

    C:\Users\admin\AppData\Local\Temp\C947.tmp

    Và rồi mệnh lệnh sau được kích hoạt:

    "C:\Users\admin\AppData\Local\Temp\C947.tmp" --helpC:\Users\admin\AppData\Local\Temp\zzpauvooos.exe D1DF15E4D714BFDB764ECF92AE709D14BCA3E0E6C759CF7C675BE26D0296A63C3B147110AC79543CC31527651D66787152102A66C33710233BD64912707D4E60”

    Rồi sau đó các file sau được cài vào hệ thống và bản .exe gốc được xóa mất:

    C:\Users\admin\AppData\Roaming\Common Files\defrag.exe
    C:\Users\admin\AppData\Roaming\Identities\{116380ff-9f6a-4a90-9319-89ee4f513542}\disk1.img
    C:\Windows\Tasks\ScheduledDefrag.job
    C:\Windows\Tasks\ScheduledDefrag_admin.job

    Một số dữ liệu sẽ được ghép vào trong Windows registry cho mục đích kiên trì tồn tại và cài đặt disk1.mdg, liên lạc máy chủ chỉ huy và điều khiển ở địa chỉ static.jp7.org trên port 443/tcp.

    Một blogger đấu tranh dân chủ nổi bật ở California đã bị tấn công thành công bằng cách này, dẫn đến việc trang blog của cô ta cùng đời sống riêng tư của cô ta bị xâm phạm.

    Nhóm đứng sau các cuộc tấn công này có vẻ như đã hoạt động từ năm 2009 và hiện đang rất năng động trong việc tấn công các nhà bất đồng chính kiến người Việt, những người đang viết về Việt Nam, cũng như cộng đồng người Việt. Đây có vẻ như là việc làm của nhóm có tên gọi là “Sinh Tử Lệnh” và trong lúc nó được xem như là tác phẩm của người Trung Quốc, càng ngày nó càng có vẻ như là việc làm của người Việt tấn công người Việt.

    EFF rất bức xúc khi thấy các chiến dịch tấn công bằng mã độc đánh gần đến nhà mình. Trong khi rõ ràng là nhóm tấn công này đang nhắm vào cộng đồng người Việt từ bấy lâu nay, các chiến dịch tấn công này cho thấy rằng các phóng viên quốc tế và nhà tranh đấu Hoa Kỳ cũng đang bị tấn công. Và khi việc những người đấu tranh và phóng viên kỳ cựu nằm trong tầm nhắm của một chính phủ quốc gia họ thường chỉ trích là việc có thể dự đoán được, sự thật cho thấy rằng một bài viết duy nhất trên blog có thể đủ để khiến bạn trở thành một mục tiêu bị theo dõi.

    Nguồn: Electronic Frontier Foundation, ngày 19/1/14, https://www.eff.org/deeplinks/2014/01/vietnamese-malware-gets-personal

    Hãy chia sẻ suy nghĩ của bạn

    9 phản hồi

    Khách gần viết:

    Cái này chắc khg ai dám trả lời chị chắc chắn vì nó tùy thuộc vào quá nhiều yếu tố: mã độc được viết cho một lọai mà thôi. Nếu nó được viết cho Windows thì chị sẽ khg có vấn đề nếu dùng iPhone, iPad, nhưng nếu nó được viết cho iPhone, iPad thì chị sẽ khg bị ảnh hưởng gì nếu dùng Windows. . .

    Cảm ơn bác Khách gần. Ít ra thì bây giờ tôi hiểu được là nếu mã viết cho Windows thì máy tôi có thể bị dính (phải lo xa), còn nếu viết cho iphone, Ipad thì tôi . . . không phải lo.

    Tran Thi Ngự viết:
    Tôi xin được hỏi các bác rành về kỹ thuât là nếu các "cụ" mở các link có mã độc bằng "ai phôn" thì chúng có "xâm nhập" vào cái ai phôn của các "cụ" không ạ. Nếu chúng có xâm nhập dô thì chiện gì sẽ xãy ra với cái "ai phôn" và cái mail box của các cụ? Xin cám ơn trước.

    Cái này chắc khg ai dám trả lời chị chắc chắn vì nó tùy thuộc vào quá nhiều yếu tố: mã độc được viết cho một lọai mà thôi. Nếu nó được viết cho Windows thì chị sẽ khg có vấn đề nếu dùng iPhone, iPad, nhưng nếu nó được viết cho iPhone, iPad thì chị sẽ khg bị ảnh hưởng gì nếu dùng Windows.

    Nếu muốn biết tác dụng của lọai mã độc nào thì phải lấy mã đó, làm thao tác giống như bác Triết để biết tên nó là gì rồi tìm hiểu thêm trên mạng những thông tin về nó. Với những lọai mã mới thì phải là dân chuyên ngành mới có khả năng làm nghiên cứu từ đầu

    Trong bài phản hồi trước, bác Triết có nhắc đến mã độc FinFisher. Mã này được bán bởi công ty Gamma International cho các chính phủ mà Việt Nam cũng là một trong những khách hàng. Mã này có lọai viết cho các điện thọai iPhone, iPad, Android v.v … Người theo dõi có thể bật điên thọai, dùng nó để nghe lén cuộc nói chuyện mà người mang điện thọai trong cuộc họp khg hề biết. Nó cũng có thể tự động truyền những tin tức của những tin nhắn, cuộc gọi về cho chính phủ.

    FinFisher thuộc lọai mắc tiền (~ 400 ngàn đô cho 2 license), chính phủ VN phải sợ ai lắm mới ngắm để cài vào, :-)

    Chị có thể đọc thêm ở đây

    Tôi thì dốt đặc về IT, mà lại rất lạc hậu về phương diện chạy theo . . . kỹ thuật, đến nay vẫn chẳng biết cái "ai phôn" hay "phôn thông minh' chúng mần việc như thế nào. Nhưng những người thân của tôi thì lại rất "theo thời" như mấy ông anh rể đã xấp xỉ 80, mấy bài chị trên 70, bây giờ cũng xử dụng "ai phôn" và "ai pát." Lý do là vì mấy đứa con khi thải đồ cũ, thấy vất đi phí của thì đưa cho ông già bà già xài.

    Các "cụ" thấy mấy cái ai phôn ai pát tiện lợi quá nên xử dụng chúng để gởi mail, check mail, bỏ xó cái PC cho nằm đóng bụi. Mỗi khi thấy có tin tức gì mà các cụ cho là hay thì các "cụ" lại "truyền đi" (forward) cho tất cả mọi người trong cái email list của các cụ.

    Tôi hân hạnh được nằm trong email list của các "cụ" nên thường xuyên nhận được tin tức do các "cụ" forward đến. Nhiều khi có nhửng message gốc gác từ ở đẩu ở đâu, đưọc forward chừng gần chục lần mới tới mình.

    Mới đây, tôi nhận được email của bà chị trong đó có cái link trông rất lạ. Tôi ngạc nhiên vì bà chị tôi đâu có biết phượt nét mà cho cái link. Tôi bèn gọi bà chị thì bà chị ngơ ngác còn ông anh rể thì nói là không gởi gì cho tôi hết.

    Tôi xin được hỏi các bác rành về kỹ thuât là nếu các "cụ" mở các link có mã độc bằng "ai phôn" thì chúng có "xâm nhập" vào cái ai phôn của các "cụ" không ạ. Nếu chúng có xâm nhập dô thì chiện gì sẽ xãy ra với cái "ai phôn" và cái mail box của các cụ? Xin cám ơn trước.

    Khách gần viết:
    Qua bài viết, chúng ta thấy mã độc được gởi dưới 2 dạng: link và file đính kèm. Để bớt khả năng bị mã độc, tôi thấy có những phương pháp sau:

    1- Khg tò mò, :-)
    2- Dùng window thật, phần mềm chống mã độc thật, cập nhật đều
    3- Khg dùng Java (Control Panel/Java/Security/unclick Enable Java)
    4- Windows có 3 loại user account: admin, standard, và guest. Chúng ta nên dùng loại standard, tránh dùng admin, vì viết mã độc để xâm phạm Windows qua account loại standard khg dễ. Tôi xin nhấn mạnh: có thể, nhưng khg dễ, và tốn rất nhiều cơm cháo để viết những lọai này. Nhóm viết mã độc biết người dùng, phần đông dùng loại admin, nên họ viết cho loại admin rồi gởi cầu may
    5- Khg tò mò: khg mở link, khg mở file đính kèm, chỉ đọc text. Học cách của Dân Luận: nhận bài qua dạng chữ text (gởi qua phản hồi)
    6- Nếu tò mò: nhấc điện thọai gọi người gởi, hỏi đó là gì. Bạn nên nhớ, có khả năng người gởi đang vô tình, hay .. cố ý, :-), gởi mã độc
    7- Nếu vẫn tò mò: dùng một máy tính khác, được cài phần mềm … lạ (có nhiều lọai free, khg phải Windows, càng lạ càng tốt) để mở những link hoặc file đó. Nếu bạn khg biết làm bước này thì … đừng tò mò, :-)

    Các sơftware antivirus không bảo đảm 100% như bác Admin có giải thích là vì nó giống như thuốc chủng ngừa chống vi rút các bệnh : phải có bệnh hoành hành rồi mới có thuốc chủng ngừa.
    Nếu có mã độc mới lạ thì antivirus bó tay.

    7- Nếu vẫn tò mò: dùng một máy tính khác, được cài phần mềm … lạ (có nhiều lọai free, khg phải Windows, càng lạ càng tốt) để mở những link hoặc file đó. Nếu bạn khg biết làm bước này thì …

    Tránh làm thường xuyên : Khi nào tôi rất nghi ngờ file, link thì tôi vào công ty mở mail đọc cái file, link này. Trong công ty có 1 PC windows, mọi người hầu như không dùng nó vì chỉ cần khi muốn chạy vài softwares cũ để test mà công ty không mua bản quyền mới cho mạng. Antivirus đều xuất phát, uptodate từ máy chủ proxy chung cho cả công ty. Hoặc dùng PC Linux ở công ty, mở các links này. Línk nào khả nghi thì bị chặn ngay với cảnh báo suspicious.

    Tránh làm thường xuyên : Hoặc có thể chuyển mail cá nhân mà mình thật sự nghi ngờ vào hộp thư mail của công ty. Các mails nào có attach khả nghi đều bị máy chủ proxy cắt đuôi, chỉ còn text

    Tóm lại : 5- Khg tò mò: khg mở link, khg mở file đính kèm, chỉ đọc text. Học cách của Dân Luận: nhận bài qua dạng chữ text (gởi qua phản hồi)

    Chớ có kỳ vọng vào phần mềm diệt virus nào có thể xác định được hết các dạng virus! Các phần mềm diệt virus đều dựa trên nguyên tắc là khi thấy có mẫu virus mới xuất hiện trên thị trường (tức là có người dính rồi) thì họ mới viết mã diệt và cập nhật nó tới người sử dụng. Tin tặc Việt Nam thường sử dụng những virus ít gặp trên thị trường nên khả năng phần mềm diệt virus biết về nó là rất nhỏ.

    lyluancun viết:
    Xin tác giả tìm kiếm và chỉ phương cách cụ thể, làm sao để tránh. Kính

    Có một bạn bên Facebook chia xẻ rằng Norton của Symantec có thể tìm ra mã độc trong "thumoi.hta" và phân loại nó là Trojan.Mdropper

    Theo vậy, 1 trong số 47 nhà cung cấp phần mềm diệt virus mà EFF nói đến rất có thể là Symantec Norton software (phiên bản 2013).

    1613766_215675301973954_989653074_n.jpg

    Như vậy, thì ngoài việc cẩn thận không nhấn vào link hay mở attachment, người sử dụng có thể dùng phần mềm an ninh của Symantec để bảo vệ máy mình.

    Google Mdropper thì nó là một thứ Trojan không nguy hiểm cho lắm. Tuy nhiên nó mở cổng sau để tải về máy những .EXE và .DLL độc hại khác. Trong trường hợp bị tấn công của EFF, họ cho biết một trong số những thứ độc hại này là FinFisher (http://en.wikipedia.org/wiki/FinFisher), phần mềm điều khiển từ xa để khống chế máy chủ, theo dõi qua keylogger, webcam, hay microphone.

    Mã độc khó nhận diện mà EFF cũng có thể là FinFisher chứ không phải là cái .hta code Symantec gọi là Mdropper kia. Nếu bạn nghi mình bị dính chưởng bởi mã độc trong bài thì lùng và xóa những file với tên gọi được EFF liệt kê trong bài thử xem.

    Dưới đây là 1 đoạn trích từ Wikipedia nói về FinFisher.

    wikipedia viết:
    "Reporters Without Borders

    On 12 March 2013 Reporters Without Borders named Gamma International as one of five "Corporate Enemies of the Internet" and “digital era mercenaries” for selling products that have been or are being used by governments to violate human rights and freedom of information. FinFisher technology was used in Bahrain and Reporters Without Borders, together with Privacy International, the European Center for Constitutional and Human Rights (ECCHR), the Bahrain Centre for Human Rights, and Bahrain Watch filed an Organisation for Economic Co-operation and Development (OECD) complaint, asking the National Contact Point in the United Kingdom to further investigate Gamma’s possible involvement in Bahrain. Since then research has shown that FinFisher technology was used in Australia, Austria, Bahrain, Bangladesh, Britain, Brunei, Bulgaria, Canada, the Czech Republic, Estonia, Ethiopia, Finland, Germany, Hungary, India, Indonesia, Japan, Latvia, Lithuania, Macedonia, Malaysia, Mexico, Mongolia, Netherlands, Nigeria, Pakistan, Panama, Qatar, Romania, Serbia, Singapore, South Africa, Turkey, Turkmenistan, the United Arab Emirates, the United States, and Vietnam.[2][3][18]

    Qua bài viết, chúng ta thấy mã độc được gởi dưới 2 dạng: link và file đính kèm. Để bớt khả năng bị mã độc, tôi thấy có những phương pháp sau:

    1- Khg tò mò, :-)
    2- Dùng window thật, phần mềm chống mã độc thật, cập nhật đều
    3- Khg dùng Java (Control Panel/Java/Security/unclick Enable Java)
    4- Windows có 3 loại user account: admin, standard, và guest. Chúng ta nên dùng loại standard, tránh dùng admin, vì viết mã độc để xâm phạm Windows qua account loại standard khg dễ. Tôi xin nhấn mạnh: có thể, nhưng khg dễ, và tốn rất nhiều cơm cháo để viết những lọai này. Nhóm viết mã độc biết người dùng, phần đông dùng loại admin, nên họ viết cho loại admin rồi gởi cầu may
    5- Khg tò mò: khg mở link, khg mở file đính kèm, chỉ đọc text. Học cách của Dân Luận: nhận bài qua dạng chữ text (gởi qua phản hồi)
    6- Nếu tò mò: nhấc điện thọai gọi người gởi, hỏi đó là gì. Bạn nên nhớ, có khả năng người gởi đang vô tình, hay .. cố ý, :-), gởi mã độc
    7- Nếu vẫn tò mò: dùng một máy tính khác, được cài phần mềm … lạ (có nhiều lọai free, khg phải Windows, càng lạ càng tốt) để mở những link hoặc file đó. Nếu bạn khg biết làm bước này thì … đừng tò mò, :-)