Loại phần mềm độc hại dạng Trojan này, được hãng phần mềm diệt virus F-Secure đặt tên là "Sâu Bão" (Storm Worm), đã bắt đầu lây lan từ ngày thứ sáu tuần trước sau khi một cơn bão lớn đổ bộ vào châu Âu. Nó được phát tán trong các bức thư giả vờ đưa tin về cơn bão này để lừa người dùng tải về một file đính kèm theo bức thư. File đính kèm này thực ra là một file thực thi mà nếu người dùng bấm vào sẽ làm cho hệ thống máy tính của họ bị nhiễm virus.
Trong dịp cuối tuần trước, đã có liên tục sáu đợt tấn công kiểu này liên tiếp được thực hiện với những bức thư tìm cách lừa người dùng tải về file đính kèm với các đầu đề khác nhau đề cập những tin tức sốt dẻo. Những loại tin tức được nhắc tới rất đa dạng, từ vụ thử nghiệm vũ khí chống vệ tinh chưa được xác nhận của Trung Quốc, cho tới một nguồn tin bí mật về việc Chủ tịch Cuba Fidel Castro đã từ trần…
F-Secure cho biết, mỗi đợt tấn công bằng thư điện tử nói trên lại kèm theo một phiên bản Trojan khác nhau. Mỗi phiên bản này đều có khả năng nâng cấp với mục đích đi trước các hãng phần mềm chống virus.
Ông Mikko Hypponen, giám đốc nghiên cứu của F-Secure nói: "Khi xuất hiện lần đầu tiên, hầu hết các phần mềm diệt virus đều không thể phát hiện được các Trojan này. Những kẻ xấu đã rất nỗ lực trong những đợt tấn công này. Chúng tung ra các bản cập nhật sau từng giờ".
Và do nhiều doanh nghiệp hiện có xu hướng loại bỏ các file thực thi đính kèm khỏi các bức thư mà họ nhận được nên ông Hypponen cho rằng những đợt tấn công này sẽ không ảnh hưởng nhiều tới các doanh nghiệp. Tuy nhiên, F-Secure cho biết đã có hàng trăm nghìn máy tính tại các hộ gia đình trên khắp thế giới có thể đã bị nhiễm các loại Trojan mới này.
Một khi người dùng đã tải về và chạy file đính kèm trong thư, một mã độc hại sẽ mở một cổng hậu trên hệ thống máy tính của người dùng để các tin tặc từ xa chiếm quyền điều khiển của hệ thống. Đồng thời, một rootkit (một dạng phần mềm phá hoại có khả năng tránh được sự phát hiện của các phần mềm chống virus) cũng sẽ được cài đặt để che giấu chương trình phá hoại. Hệ thống máy tính của người dùng sau đó sẽ trở thành một máy tính "ma" (zoombie) trong một mạng phát tán thư rác có tên là "botnet". Thông thường, phần lớn các botnet hiện nay được kiểm soát qua một máy chủ trung tâm. Nếu máy chủ trung tâm này bị phát hiện, mạng botnet đó có thể bị phá hủy. Tuy nhiên, những đợt tấn công lần này lại tạo ra các mạng botnet hoạt động như một mạng ngang hàng, không có sự kiểm soát tập trung.
Một chiếc máy tính nhiễm virus sẽ kết nối với một nhóm nhỏ trong toàn mạng botnet, bao gồm khoảng từ 30 đến 35 chiếc máy tính nhiễm virus khác đóng vai trò như các máy chủ. Mặc dù mỗi máy chủ này đều chia sẻ danh sách của các máy chủ khác nhưng không có hệ thống nào có đầy đủ danh sách của toàn bộ mạng botnet mà chỉ có danh sách của một nhóm nhỏ. Chính điều này khiến cho các chuyên gia rất khó khăn trong việc tính toán được quy mô của cả mạng botnet.
Dù đây không phải là mạng botnet đầu tiên sử dụng những kỹ thuật này nhưng ông Hypponen nhận định rằng kiểu botnet này là "một sự phát triển đáng lo ngại".
Hãng bảo mật Sophos đã gọi Storm Worm là "đợt tấn công lớn đầu tiên của năm 2007", với lượng thư rác được gửi tới hàng trăm nước trên thế giới. Ông Graham Cluley, một quan chức của Sophos, nhận định rằng sẽ có thêm nhiều đợt tấn công nữa trong những ngày sắp tới, và mạng botnet được tạo ra rất có thể sẽ được sử dụng để phát tán thư rác, truyền bá phần mềm quảng cáo hoặc bị sử dụng để phát động các vụ tấn công từ chối dịch vụ.
Những vụ tấn công trên không gian ảo gần đây dường như chuyển hướng ưu tiên nhiều hơn tới các tổ chức tư nhân. Hãng dịch vụ thư điện tử MessageLabs cho rằng chiến dịch phát tán phần mềm độc hại lần này là "rất dữ dội" và cho rằng nhóm tội phạm đứng đằng sau chiến dịch này rất có thể là một nhóm mới và đang muốn chứng tỏ mình.
Hiện chưa có công ty bảo mật nào biết được thủ phạm của các đợt tấn công này cũng như nơi mà chúng được phát động.
