Conficker kéo tay áo mật vụ an ninh với nhiều thứ bí ẩn hơn phải giải quyết

Thứ năm - 16/04/2009 08:04
Conficker Twitch Leaves Security Sleuths With More Mysteries to Solve

By Ric-hard Adhikari

TechNewsWorld
Một phần của mạng thông tin ECT

Part of the ECT News Network

04/09/09 12:09 PM PT

Theo: http://www.linuxinsider.com/story/security/66773.html

Bài được đưa lên Internet ngày: 09/04/2009

Các nhà nghiên cứu an ninh máy tính đã băn khoăn theo dõi hôm 01/04 khi sâu Conficker, mà nó đã tấn công hàng triệu máy tính cá nhân khắp thế giới, đã tỉnh dậy và bắt đầu nghe ngóng chờ lệnh. Tuy nhiên, không có sự tàn phá lớn nào được báo cáo vào lúc này. Dù bây giờ, các nhà nghiên cứu nói Conficker lại động đậy trở lại, và biến thể mới của nó đã làm cho chúng để lại nhiều câu hỏi hơn là các câu trả lời.

Hôm thứ ba, các máy tính bị lây nhiễm bởi sâu Conficker đã tỉnh dậy và tải về một biến thế mới.

Có tên là “Worm.Downad.E” bởi Trend Micro, “Conficker.AQ” bởi nhà cung cấp chống virus Eset và “TrojanD-ropper.Win32.Kido.o” bởi nhà cung cấp chống virus Kaspersky Lab, biến thể mới này đã để lại nhiều đe doạ an ninh mà các nhà nghiên cứu đã lúng túng.

Một câu hỏi hóc búa: Họ không biết vì sao nó có một chuyển mạch chết mà có lẽ sẽ kích hoạt vào ngày 03/05.

Hơn nữa, biến thể mới này có một thành phần bị bỏ huyền bí. Cuối cùng nó sẽ xoá thành phần đó, và các nhà nghiên cứu vẫn còn đang cố gắng tìm hiểu vì sao.

Trò chơi đố, bất kỳ ai chăng?

Biến thể mới này không phải là một chương trình duy nhất mà thực sự có vài thành phần có liên quan, David Haley, giám đốc về kiến thức phần mềm độc hại tại Eset, đã nói với TechnewsWorld. Đây là một biến thể phụ của Conficker.A, phiên bản ngay lúc ban đầu của Conficker, mà đã có từ cuối năm 2008, ông nói.

Các chuyên gia an ninh vẫn còn đang tháo gỡ mã của Conficker.AQ, nhưng họ phải vượt qua những thứ mà đã làm dấy lên nhiều câu hỏi hơn là họ trả lời. Ví dụ như chuyển đổi chết. “Chúng tôi vẫn đang cố gắng xác định vì sao Conficker sẽ tự nó tắt vào ngày 03/05”, Ivan Macalintal, một thành viên của nhóm làm việc về Conficker, mà nhóm này được thiết lập để đấu tranh chống sâu này, nói với TechNewsWorld.

Computer security researchers watched anxiously on April 1 as the Conficker worm, which has stricken millions of PCs worldwide, woke up and began listening for orders. However, no large disruptions were reported at the time. Now, though, researchers say Conficker is on the move again, and its new variant has left them with more questions than answers.

On Tuesday, computers infected by the Conficker worm woke up and downloaded a new variant.

Named "Worm.Downad.E" by Trend Micro, "Conficker.AQ" by antivirus vendor Eset and "Trojan-D-ropper.Win32.Kido.o" by antivirus vendor Kaspersky Lab, this new variant has left many security threat researchers bewildered.

One conundrum: They don't know why it has a kill switch that apparently kicks in on May 3.

Also, the new variant has a mysterious d-ropped component. It will eventually de-lete that component, and researchers are still trying to figure out why.

Puzzles, Anyone?

The new variant is not a single program but actually several related components, David Haley, director of malware intelligence at Eset, told TechNewsWorld. It is a subvariant of Conficker.A, the very first version of Conficker, which came out late in 2008, he said.

Security experts are still scrambling to unravel Conficker.AQ's code, but they have come up with tidbits that raise more questions than they answer. Take the kill switch, for example. "We're still trying to determine why Conficker will turn itself off on May 3," Ivan Macalintal, a member of the Conficker Working Group, which was set up to fight the worm, told TechNewsWorld.

Khi biến thể mới này hoạt động, nó sẽ bỏ một tệp tạm thời trong thư mục hệ thống. Điều này đặt ra thêm một bí ấn khác. “Chúng tôi biết nó động tới giao thức kiểm soát chuyển mạch gói TCP và các tệp IP.sys trong bộ nhớ, và đó là tất cả”, Macalintal nói. “Chúng tôi vẫn đang làm việc để phân tích nó”.

Việc phân tích mã nguồn chỉ ra tệp tạm thời sẽ tự xoá sau khi hoàn thành mục tiêu của nó, nhưng không ai biết vì sao, Macalintal nói.

Một vài chi tiết vụn vặt

Conficker.AQ sẽ tự sao chép tới một loạt các vị trí và tải và châm một thư viện trong các tệp explorer.exe, services.exe và svchost.exe, theo Eset. Nó cũng sẽ tự đăng ký như một dịch vụ hệ thống với một tên mà bao gồm một trong những thứ sau: App, Audio, DM, ER hoặc Event.

Conficker.AQ cũng sẽ xoá một số mục đăng ký và kết thúc các quá trình với bất kỳ chuỗi nào trong các tên: autoruns, avenger, bd_rem, cfremo và confick.

Nó vô hiệu hoá các chuỗi dịch vụ sau: Windows Security Center Service (wscsvc); Windows Automatic Up-date Service (wuauserv); Background Intelligent Transfer Service (BITS); Windows Defender Service (WinDefend); và Windows Error Reporting Service (ERSvc and WerSvc).

When the new variant is executed, it will d-rop a temporary file in the system folder. This poses yet another mystery. "We know it touches the TCP (transmission control protocol) and IP.sys files in memory, and that's all," Macalintal said. "We're still working on analyzing it."

Code analysis shows the temporary file will de-lete itself after serving its purpose, but nobody knows why, Macalintal said.

Some Gory Details

Conficker.AQ will copy itself to various locations and load and inject a library into the explorer.exe, services.exe and svchost.exe files, according to Eset. It will also register itself as a system service with a name that includes one of the following: App, Audio, DM, ER or Event.

Conficker.AQ will also de-lete some registry entries and terminate processes with any of these strings in the name: autoruns, avenger, bd_rem, cfremo and confick.

It disables the following service strings: Windows Security Center Service (wscsvc); Windows Automatic Up-date Service (wuauserv); Background Intelligent Transfer Service (BITS); Windows Defender Service (WinDefend); and Windows Error Reporting Service (ERSvc and WerSvc).

Nhập đội với Waledac chăng?

Sau khi những máy tính cá nhân bị nhiễm tải về Conficker.AQ, thì chúng dự kiến sẽ truy cập goodnewsdigital.com, một tên miền được biết là chứa sâu Win32/Waledac, và tải về print.exe, một nhị phân mới của Waledac, Trend Micro nói.

Waledac sinh ra spam cho những thứ giả mạo tham lam cao cấp canh phòng và cho một spam nổi tiếng lượn vòng, Macalintal nói. Waledac cũng đứng đằng sau một sự bùng nổ spam với các thẻ điện tử được gửi vào ngày lễ tình nhân.

Những ý nghĩ về một sự bị trói giữa 2 thứ này tạo ra sự rùng mình lạnh xương sống cho các nhà nghiên cứu về an ninh. “Nếu có thứ gì đó trong đó mà kết nối Conficker-Waledac, thì nó có thể sẽ là một thứ lớn thực sự”, Macalintal nói. “Nhóm làm việc về Conficker đang xem xét điều này, như chúng tôi”, Macalintal cũng là một lãnh đạo nghiên cứu về đe doạ tại Trend Micro.

Hãy kiểm tra đầu vào

Conficker C, mà nó là biến thể mới nhất trước khi có Conficker.AQ, thực hiện vài kiểm tra ngày tháng, theo Blog nghiên cứu của các nhà tư vấn về an ninh CA.

Một khi kiểm tra thời gian xảy ra giữa 7:00 a.m và 11:00 a.m., theo giờ địa phương. Điều này là khi mọi người thường tới công sở và bật máy tính của họ. Kiểm tra ngày tháng mới nhất đã xảy ra vào ngày 01/04, tại thời gian đó hệ thống đã được thiết lập để sinh ra 50,000 miền từ đó để có những mệnh lệnh.

Conficker.AQ sẽ tiếp tục kiểm tra ngày và thời gian bằng việc truy cập các máy chủ ở những site như MySpace.com, MSN.com, AOL.com, eBay.com và CNN.com. Điều này không chỉ ra một kế hoạch gở để làm hỏng ccs site đó, cũng không làm cho nó gây ra bất kỳ sự câu kết nào giữa các site này và những người thiết kế ra Conficker. “Theo mã, nó chỉ kiểm tra ngày và thời gian trên một loạt các máy chủ”, Macalintal nói.

Teaming Up With Waledac?

After infected PCs downloaded Conficker.AQ, they attempted to access goodnewsdigital.com, a domain known to host the Win32/Waledac worm, and download print.exe, a new Waledac binary, Trend Micro (Nasdaq: TMIC) said.

Waledac generates spam for outfits hawking fake high-end watches and for a well-known spam ring, Macalintal said. Waledac was also behind an e-card spam burst sent out on Valentine's Day.

Thoughts of a tie-in between the two generates shivers down security researchers' spines. "If there's anything in that Conficker-Waledac connection, it could be a really big thing," Macalintal said. "The Conficker Working Group is looking into this, as are we." Macalintal is also a threat research manager at Trend Micro.

Just Checkin' In

Conficker C, which was the last variant before Conficker.AQ, performs a few date and time checks, according to the CA Security Advisor Research Blog.

One time check occurs between 7:00 a.m. and 11:00 a.m., local system time. This is when people typically arrive at work and turn on their computers. The last date check happened on April 1, at which time the system was set to generate 50,000 domains f-rom which to get instructions.

Conficker.AQ will continue the date and time checks by accessing servers at sites like MySpace.com, MSN.com, AOL.com, eBay.com and CNN.com. This does not indicate a sinister plan to corrupt those sites, nor does it imply any collusion between those sites and Conficker's designers. "According to the code, it's just to check for the date and time on various servers," Macalintal said.

Sự biếng nhác chết người

Đây là sự thật đau đớn: Conficker có thể không ở bất cứ đầu gần mà có hiệu quả như nó đang trong kỳ phát triển nếu người sử dụng máy tính cá nhân PC chỉ vượt qua với những nâng cấp và bản vá của họ. Nó thúc đẩy tính dễ bị tổn thương được nhắc tới trong Microsoft Security Bulletin MS08-067, mà đã được xuất bản tháng 10 năm ngoái.

Lúc này, Microsoft đã cảnh báo rằng tính có thể bị tổn thương này có thêr cho phép chạy mã từ xa trên một vài hệ thống chạy hệ điều hành Windows. “Một kẻ tấn công có thể khai thác tính có thể bị tổn thương này mà không cần xác thực để chạy mã tuỳ ý”, tài liệu nói. “Có thể là tính dễ bị tổn thương này có thể được sử dụng trong việc sinh mẹo của một sư khai thác của các sâu”.

Điều đó chống lại các nhà nghiên cứu.

“Nếu nó không phải là để cho những thực tiễn an ninh tồi tệ thực sự trên một phạm vi to lớn như vậy, thì Conficker có thể sẽ không là một vấn đề”, Randy Abrams, giám đốc về giáo dục kỹ thuật của ESET, nói cho TechNewsWorld.

Laziness Kills

Here's the painful truth: Conficker would not be anywhe-re near as effective as it is in growing if PC users had only kept up with their up-dates and patches. It leverages a vulnerability mentioned in Microsoft (Nasdaq: MSFT) Security Bulletin MS08-067, which was published last October.

At the time, Microsoft warned that this vulnerability could allow remote code execution on various systems running the Windows operating system. "An attacker could exploit this vulnerability without authentication to run arbitrary code," the bulletin said. "It is possible that this vulnerability could be used in the crafting of a wormable exploit."

That frustrates researchers.

"If it wasn't for such truly bad security practices on such a massive scale, Conficker wouldn't be a problem anyway," Randy Abrams, ESETs director of technical education, told TechNewsWorld.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Về Blog này

Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...

Bài đọc nhiều nhất trong năm
Thăm dò ý kiến

Bạn quan tâm gì nhất ở mã nguồn mở?

Thống kê truy cập
  • Đang truy cập132
  • Hôm nay16,528
  • Tháng hiện tại589,390
  • Tổng lượt truy cập37,390,964
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây