Không đùa với sâu máy tính trong ngày cá tháng tư

Những điểm chốt của câu chuyện

• Sâu máy tính Conficker C được dự đoán sẽ hoạt động vào cá tháng tư (01/04)

• Sâu này cho phép một máy tính chủ tiếp quản các máy tính cá nhân PC bị nhiễm sống dở chết dở

• Còn chưa rõ tác giả của chương trình này có kế hoạch làm gì với tất cả sức mạnh này

• Một nhóm được gọi là Conficker Cabal đang cố gắng săn lùng các giải pháp

Story Highlights

• The Conficker C computer worm is expected to activate on April Fool's Day

• The worm lets a master computer take over infected zombie PCs

• It's unclear what the program's author plans to do with all the power

• A group called the Conficker Cabal is trying to hunt down solutions

up-dated 8:15 a.m. EDT, Tue March 24, 2009

By John D. Sutter CNN

Lời người dịch: Sâu Conficker là một loại sâu siêu nguy hiểm cho các máy tính chạy Windows vì “Chương trình này có thể xoá tất cả các tệp trên một máy tính cá nhân, sử dụng các máy tính sống dở chết dở – những máy bị kiểm soát bởi một máy chủ – để áp đảo và tắt các website hoặc giám sát các cú gõ bàn phím cá nhân để thu thập các thông tin cá nhân như các mật khẩu hoặc các thông tin tài khoản ngân hàng, các chuyên gia nói”. Liệu sâu này có chỉ dừng ở những mục đích đó?

Ảnh: Cảnh báo ngày phát tác của Conficker:

http://i2.cdn.turner.com/cnn/2009/TECH/03/24/conficker.computer.worm/art.conf...

(CNN) – Một câu chuyện trinh thám của khoa học máy tính đang diễn ra trên Internet khi các chuyên gia an ninh cố săn lùng một con sâu được gọi là Conficker C và ngăn ngừa nó khỏi gây hại cho hàng triệu máy tính vào ngày cá tháng tư.

Những người nghiên cứu chống sâu đã tụ tập cùng nhau trong một nhóm mà họ gọi là Conficker Cabal. Các thành viên đang tìm kiếm tác giả của chương trình phần mềm độc hại này và các cách làm hại tới sự kiểm soát nếu người đó không thể dừng lại được.

Họ được khuyến khích một phần bởi một giải thưởng trị giá 250,000 USD từ Microsoft và cũng bởi những gì dường như sẽ là một dạng đạo đức của Dick Tracy.

“Chúng tôi thích việc bắt kẻ gian”, Alvin Estevez, giám đốc điều hành của nhóm phần mềm Enigma, mà nó là một trong nhiều công ty đang cố phá được Conficker. “Chúng tôi thích những hacker trước kia mà họ thích bắt các hacker khác. Đối với chúng tôi, chúng tôi có chiếc lông trên mũ để có thể hạ đo ván con sâu đó. Chúng tôi đập tay lẫn nhau 5 lần khi chúng tôi tiêu diệt được những lây nhiễm đó”.

Chương trình độc hại này đã được xem là đã lây nhiễm cho khoảng từ 5 triệu tới 10 triệu máy tính.

Những lây nhiễm này đã không đẻ ra nhiều triệu chứng, nhưng vào ngày 01/04 một máy tính chủ sẽ được lên lịch để giành lấy sự kiểm soát các máy tính sống dở chết dở đó, Don DeBolt, giám đốc của nghiên cứu các mối đe doạ cho CA, một công ty công nghệ thông tin và phần mềm có trụ sở ở New York.

(CNN) -- A computer-science detective story is playing out on the Internet as security experts try to hunt down a worm called Conficker C and prevent it f-rom damaging millions of computers on April Fool's Day.

The anti-worm researchers have banded together in a group they call the Conficker Cabal. Members are searching for the malicious software program's author and for ways to do damage control if he or she can't be stopped.

They're motivated in part by a $250,000 bounty f-rom Microsoft and also by what seems to be a sort of Dick Tracy ethic.

"We love catching bad guys," said Alvin Estevez, CEO of Enigma Software Group, which is one of many companies trying to crack Conficker. "We're like former hackers who like to catch other hackers. To us, we get almost a feather in our cap to be able to knock out that worm. We slap each other five when we're killing those infections."

The malicious program already is thought to have infected between 5 million and 10 million computers.

Those infections haven't spawned many symptoms, but on April 1 a master computer is scheduled to gain control of these zombie machines, said Don DeBolt, director of threat research for CA, a New York-based IT and software company.

Những gì sẽ xảy ra trong ngày cá tháng tư là một giả định của bất kỳ ai.

Chương trình này có thể xoá tất cả các tệp trên một máy tính cá nhân, sử dụng các máy tính sống dở chết dở – những máy bị kiểm soát bởi một máy chủ – để áp đảo và tắt các website hoặc giám sát các cú gõ bàn phím cá nhân để thu thập các thông tin cá nhân như các mật khẩu hoặc các thông tin tài khoản ngân hàng, các chuyên gia nói.

Dù, chắc chắn hơn, DeBolt nói, virus này có thể cố gắng có được những người sử dụng máy tính để mua các phần mềm lậu hoặc bỏ tiền vào các sản phẩm giả tạo khác.

Các chuyên gia nói các hacker máy tính phần lớn đã chuyển khỏi việc biểu diễn và gây ra những lo lắng ngẫu nhiên. Chúng bây giờ thường cố kiếm tiền từ các chương trình virus của chúng.

DeBolt nói Conficker C bản thân nó ém sâu trong máy tính nơi mà nó khó bị theo dõi. Chương trình, ví dụ, sẽ dừng Windows khỏi việc tiến hành các cập nhật tự động mà nó có thể ngăn ngừa các phần mềm độc hại khỏi việc gây ra thiệt hại.

Mã nguồn của chương trình này cũng được viết để tiến hoá qua thời gian và tác giả của nó dường như tiến hành cập nhật để phá ngang một số cố gắng của nhóm Conficker Cabal để làm trung tính con sâu này.

“Nó rất giống trò chơi mèo vờn chuột”, DeBolt nói.

Không rõ ai đã viết chương trình này, nhưng các thành viên của Cabal đang tìm kiếm các dấu vết.

Trước tiên, họ biết rằng một số chương trình phần mềm độc hại gần đây tới từ các quốc gia Đông Âu nằm ngoài vòng pháp luật của Liên minh châu Âu Patrick Morganelli, phó chủ tịch cao cấp về công nghệ của Enigma Software nói.

Các tác giả của chương trình sâu thường ẩn náu trong các quốc gia đó để nằm ngoài tầm mắt của sự tăng cường pháp luật, ông nói.

What happens on April Fool's Day is anyone's guess.

The program could de-lete all of the files on a person's computer, use zombie PCs -- those controlled by a master -- to overwhelm and shut down Web sites or monitor a person's keyboard strokes to collect private information like passwords or bank account information, experts said.

More likely, though, said DeBolt, the virus may try to get computer users to buy fake software or spend money on other phony products.

Experts said computer hackers largely have moved away f-rom showboating and causing random trouble. They now usually try to make money off their viral programs.

DeBolt said Conficker C imbeds itself deep in the computer whe-re it is difficult to track. The program, for instance, stops Windows f-rom conducting automatic up-dates that could prevent the malware f-rom causing damage.

The program's code is also written to evolve over time and its author appears to be making up-dates to thwart some of the Conficker Cabal's attempts to neuter the worm.

"It is very much a cat and mouse game," DeBolt said.

It's unclear who wrote the program, but members of the Cabal are looking for clues.

First, they know that some recent malware programs have come f-rom Eastern European countries outside the jurisdiction of the European Uni-on, said Patrick Morganelli, senior vice president of technology for Enigma Software.

Worm program authors often hide in those countries to stay out of sight f-rom law enforcement, he said.

Trong cách này, Conficker Cabal cũng đang tìm kiếm dấu vết của tác giả chương trình này. DeBolt nói các nhà nghiên cứu về an ninh đang xem các chương trình phần mềm độc hại cũ để tìm xem liệu các kiểu lập trình của họ có giống với cách của Conficker C hay không.

Viễn cảnh để bắt được tác giả của chương trình này là không tốt, Morganelli nói.

“Trừ phi họ mở mồm của họ, còn không họ sẽ không bao giờ bị phát hiện ra”, ông nói.

Vì thế, cuộc tấn công được cho là có hiệu quả nhất đơn giản có thể sẽ là kiểm soát thiệt hại.

Một cách nhanh chóng để xem liệu máy tính của bạn đã bị lây nhiễm chưa là xem liệu bạn đã có cập nhật tự động từ Windows trong tháng 03 hay không. Nếu có, thì máy tính của bạn có thể là không sao, DeBolt nói.

Microsoft đã đưa ra một tuyên bố nói công ty này “đang làm việc tích cực với giới công nghiệp để làm giảm nhẹ sự lan truyền của sâu này”.

Những người sử dụng mà không có những cập nhật Windows mới nhất phải tới địa chỉ http://safety.live.com nếu họ sợ họ sẽ bị lây nhiễm, tuyên bố của hãng này nói.

DeBolt nói mọi người mà sử dụng các phần mềm chống virus khác phải kiểm tra để chắc chắn là họ đã nhận được những cập nhật mới nhất, mà cũng có thể đã bị vô hiệu hoá bởi Conficker C.

Phiên bản đầu tiên của Conficker – dòng A – đã được tung ra vào cuối năm 2008.

Phiên bản đó đã sử dụng 250 địa chỉ Web – được tạo ra hàng ngày bởi hệ thống này – như là phương tiện giao tiếp giữa máy chủ và các máy sống dở chết dở.

Mục tiêu cuối cùng của dòng đầu tiên này là bán các phần mềm chống virus dởm cho người sử dụng máy tính, Morganelli nói.

Các chuyên gia an ninh máy tính phần đông đã vá vấn đề này bằng cách làm việc với Tập đoàn Internet về các Tên và Số được chỉ định để vô hiệu hoá hoặc mua các URL dởm, ông nói.

In a way, the Conficker Cabal is also looking for the program author's fingerprints. DeBolt said security researchers are looking through old malware programs to see if their programming styles are similar to that of Conficker C.

The prospects for catching the program's author are not good, Morganelli said.

"Unless they open their mouth, they'll never be found," he said.

So, the most effective counter-assault simply may be damage control.

One quick way to see if your computer has been infected is to see if you have gotten automatic up-dates f-rom Windows in March. If so, your computer likely is fine, DeBolt said.

Microsoft released a statement saying the company "is actively working with the industry to mitigate the spread of the worm."

Users who haven't gotten the latest Windows up-dates should go to http://safety.live.com if they fear they're infected, the company's statement says.

DeBolt said people who use other antivirus software should check to make sure they've received the latest up-dates, which also could have been disabled by Conficker C.

The first version of Conficker -- strain A -- was released in late 2008.

That version used 250 Web addresses -- generated daily by the system -- as the means of communication between the master computer and its zombies.

The end goal of the first line was to sell computer users fake antivirus software, said Morganelli.

Computer security experts largely patched that problem by working with the Internet Corporation for Assigned Names and Numbers to disable or buy the problematic URLs, he said.

Tiếp cận hạn chế qui trình đó có lẽ không được hiệu quả với dòng Conficker C, Morganelli nói. Phiên bản mới này sẽ tạo ra 50,000 URL trong một ngày thay vì chỉ 250 khi nó bắt đầu kích hoạt, DeBolt nói.

Sự lặp lại đầu tiên của Conficker là ý nghĩ phải phát triển bên ngoài chức năng tự do đối với các chương trình được tạo ra bởi tiến sĩ Ronald Rivest, một giáo sư khoa học máy tính tại Đại học công nghệ Massachusetts.

“Bất kỳ công nghệ nào có thể được sử dụng cho điều tốt lành hoặc quái quỷ, và đây chỉ là một ví dụ về điều đó”, Rivest nói.

Nhiều virus đã nắm lấy những mẩu chương trình từ thiện và đã sử dụng chúng cho những thứ tồi tệ. Những nhìn chung môi trường “nguồn mở” trực tuyến xúc tiến an ninh máy tính nhiều hơn nhiều so với nó cho phép các hacker, DeBolt nói.

“Tôi hoàn toàn không nói về cộng đồng nguồn mở” vì những tấn công virus, ông nói.

CA nói gần đây nó thấy một mẩu mã nguồn trong Conficker C mà nó nói sâu này sẽ trở nên được kích hoạt vào ngày 01/04. Các phiên bản trước của các phần mềm độc hại được tung ra vào những ngày đặc biệt được lưu ý trong mã của chương trình, nên ngày khởi phát ngày cá tháng tư có lẽ không phải là một mưu mẹo, DeBolt nói.

“Những trí tuệ tốt nhất trong giới công nghiệp đang làm việc về điều này để bảo vệ những người tiêu dùng”, ông nói. “Chúng tôi đang cố gắng làm giảm ảnh hưởng của ngày 01/04 tốt nhất có thể. Nhưng chúng tôi biết... phần mềm độc hại này sẽ tiếp tục tiến triển”.

That process-of-elimination approach isn't likely to be effective with Conficker strain C, Morganelli said. The new version will generate 50,000 URLs per day instead of just 250 when it becomes active, DeBolt said.

The first iteration of Conficker is thought to have grown out of a free function for security programs cre-ated by Dr. Ronald Rivest, a computer science professor at the Massachusetts Institute of Technology.

"Any technology can be used for good or evil, and this is just an example of that," Rivest said.

Many viruses have taken pieces of benevolent programs and used them for ill. But overall the "open source" environment online promotes computer security far more than it enables hackers, DeBolt said.

"I don't blame the open-source community at all" for virus attacks, he said.

CA said it recently found a piece of code in Conficker C that says the worm will become active on April 1. Previous versions of the malicious software launched on specific dates noted in the program code, so the April Fool's Day launch date is not likely to be a trick, DeBolt said.

"The best minds in the industry are working on this to protect customers," he said. "We're trying to reduce the impact of the April 1 date as best we can. But we know ... this malware will continue to evolve."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com