Conficker đã thay đổi và còn nguy hại hơn

09.03.2009 14:11

Theo: http://www.heise.de/english/newsticker/news/134229

Bài được đưa lên Internet ngày: 09/03/2009

Lời người dịch: Liệu có ai đặt câu hỏi: Vì sao Microsoft lại đặt giải 250,000 USD cho ai có manh mối để bắt và kết tội những người đã tạo ra sâu Conficker tai hại này? Phải chăng chính hệ thống Windows với khả năng an ninh kém cỏi đã dẫn tới việc này???

Theo Symantec thì sâu Conficker đã được biến đổi để gây hại nhiều hơn. Trước đây sâu này chỉ liên lạc được khoảng 250 miền trong một ngày, để tìm kiếm các lệnh và tải mã mới về. Symantec nói rằng có một biến thể mới của Conficker sử dụng một thuật toán mà nó sẽ liên lạc tới 50,000 miền trong một ngày. Thuật toán sinh miền mới này cũng sử dụng một trong 116 khả năng đuôi tên miền.

Điều này được dự kiến sẽ làm cho cuộc sống khó khăn thêm đối với những chuyên gia chống virus, ICANN và OpenDNS phải khoá các miền mà Conficker sẽ sử dụng và làm cho nó giống nhiều hơn là Conficker sẽ tạo ra các địa chỉ mà chỉ tới các site hợp pháp. Dù Conficker sinh ra tên miền từ một tổ hợp ngẫu nhiên các ký tự và sẽ tạo ra các miền mà chúng trỏ tới các địa chỉ không sử dụng được lớn hơn, thì nó có thể tìm thấy các công ty mà có các miền mà tên của các miền này khớp với các địa chỉ đã được sinh ra này. Ví dụ, việc sinh ra trước đó của sâu này được dự kiến gọi là wnsux.com vào ngày 13/03, một miến của hãng hàng không Tây Nam (Southwest Airlines).

Sự thay đổi khi sinh ra miền này được hoàn tất bởi một tiếp cận ác chiến hơn cho việc giữ cho sâu này sống. Conficker bây giờ sẽ dò ra một dãy rộng lớn các phần mềm chống virus và an ninh, tìm các tiến trình có chứa các chuỗi ký tự như là wireshark, unlocker, tcpview, sysclean, regmon và hotfix, và sẽ giết các tiến trình này trong mưu đồ để không bị lộ diện.

According to Symantec the Conficker worm has been modified to cause more damage. Previously the worm had only contacted about 250 domains a day, to look for commands and download new code. Symantec report that there is a new variant of Conficker using an algorithm which will contact up to 50,000 domains a day. The new domain generation algorithm also uses one of a 116 possible domain suffixes.

This is expected to make life harder for anti-virus specialists, ICANN and OpenDNS to block the domains that Conficker will use and makes it much more likely that Conficker will be generating addresses that point to legitimate sites. Although Conficker generates the domain name f-rom a random combination of letters and should be creating domains that point to largely unused addresses, it is possible to find companies who have domains who's names match the generated addresses. For example, the previous generation of the worm is expected to call wnsux.com on March 13th, a domain owned by Southwest Airlines.

The change in domain generation is accompanied by a more aggressive approach to keeping the worm alive. Conficker will now detect a wide range of anti-virus and security software, looking for processes containing strings such as wireshark, unlocker, tcpview, sysclean, regmon and hotfix, and kill those processes in an attempt to remain undetected.

Sự căng thẳng mới của Conficker đã được nhân đôi W32.Downadup.C bởi Symantec. Hãng an ninh này đã nghiên cứu nó bằng việc đẩy ra các hệ thống trước đó bị lây nhiễm với các phiên bản trước đó của Conficker. Đánh giá số lượng các hệ thống đã bị lây nhiễm với sâu này cỡ từ vài trăm ngàn tới vài triệu, nó làm cho Microsoft phải đưa ra một giải thưởng 250,000 USD cho thông tin dẫn tới việc bắt và kết tội những người tạo ra Conficker. Cho tới nay, không có ai được tuyên bố là nhận được phần thưởng này.

Câu hỏi là liệu và khi nào bầy đàn Conficker này sẽ làm cho các hệ thống bị lây nhiễm thành một thí nghiệm đặc biệt như để gửi đi các spam, phối hợp từ chối tấn công dịch vụ hoặc tạo ra một mạng thay đổi liên tục cho việc phishing. Còn may, sâu này sẽ còn phải thiết lập được một thử nghiệm và chỉ liên lạc các miền và tự bản thân lây nhiễm thông qua hàng loạt các phương tiện, mà ngay cả hành động đó cũng đã tạo ra một số vấn đề cho các sites bị lây nhiễm.

The new strain of Conficker has been dubbed W32.Downadup.C by Symantec. The security company has already observed it being pushed out to systems previously infected with earlier Conficker versions. Estimates of the number of systems already infected with the worm range f-rom several hundred thousand to several millions, which has led to Microsoft offering a $250,000 reward for information leading to the arrest and prosecution of the Conficker creators. So far, no one has claimed that reward.

The question is whether and when the Conficker bot herder will set the infected systems a specific task such as sending spam, orchestrating a denial of service attack or creating a Fast Flux network for phishing. The worm has, fortunately, yet to be set a task and has only been contacting domains and spreading itself through various means, but even that action has been causing some problems for infected sites.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com