Lưu hành biến thể mới của sâu Conficker

February 23, 2009 4:13 PM PST

by Elinor Mills

Theo: http://news.cnet.com/8301-1009_3-10170280-83.html?part=rss&subj=news

Bài được đưa lên Internet ngày: 23/02/2009

Một biến thể mới của sâu Internet Conficker đang lưu hành mà nó mở một cửa hậu để có thể cho phép một kẻ tấn công phân phối các phần mềm độc hại tới các máy tính bị lây nhiễm, tổ chức US-CERT đã cảnh báo hôm thứ hai.

Sâu mới Conficker/Downadup này, còn có tên khác là “Conficker B++”, sử dụng mọt cửa hậu mới với tính năng “autoup-date” (“tự động nâng cấp”), CERT nói trong một khuyến cáo.

Microsoft nói không có dấu hiệu rằng các hệ thống bị lây nhiễm với biến thể trước đó của Conficker có thể tự động lây nhiễm lại với biến thể mới này, CERT nói.

Các phiên bản trước của Conficker đã thực hiện hành động để ngăn cản sự khai thác tiếp tính dễ bị tổn thương, Microsoft nói trong một khuyến cáo của riêng hãng.

“Chúng tôi đã phát hiện rằng biến thể mới này không còn vá netapi32.dll đố với tất cả những mưu đồ để khai thác nó. Thay vào đó nó bây giờ kiểm tra một mẫu đặc trưng nào đó trong mã bọc tới và một URL cho một việc tải có trả tiền được cập nhật”, Microsoft nói, hãng đang đưa ra một giải thưởng 250,000 USD để dừng con sâu Conficker này.

“Việc tải có trả tiền chỉ tiến hành được nếu nó được kiểm tra hợp lệ thành công bởi phần mềm độc hại này. Tuy nhiên, dường như không dễ dàng cho các tác giả nâng cấp mạng có Conficker đang tồn tại sang một biến thể mới”.

Con sâu này, mà nó đã có từ năm ngoái, lan truyền thông qua một lỗ hổng trong các hệ thống Windows, khai thác tính có thể bị tấn công mà Microsoft đã vá trong tháng 10/2008.

Conficker cũng lan truyền thông qua các thiết bị lưu trữ có thể di dời được như các ổ USB, và chia sẻ mạng bằng việc đoán các mật khẩu và tên người sử dụng.

Trong khi chờ đợi, các phiên bản trước của Conficker đã rất bận rộn. Conficker.A đã lây nhiễm hơn 4,7 triệu địa chỉ IP, trong khi hậu duệ của nó, Conficker.B, đã lây nhiễm cho 6,7 triệu địa chỉ IP, với tổng số các máy chủ bị lây nhiễm ít hơn 4 triệu máy tính cho cả 2 loại, theo một báo cáo kỹ thuật của SRI International.

A new variant of the Conficker Internet worm is circulating that opens up a backdoor that could allow an attacker to distribute malware to infected machines, the US-CERT organization warned on Monday.

The new Conficker/Downadup worm, dubbed "Conficker B++," uses a new backdoor with "auto-up-date" functionality, CERT said in an advisory.

Microsoft says there is no indication that systems infected with previous variants of Conficker can automatically be re-infected with the new variant, CERT said.

Previous versions of Conficker took action to prevent further exploitation of the vulnerability, Microsoft said in an advisory of its own.

"We've discovered that the new variant no longer patches netapi32.dll against all attempts to exploit it. Instead it now checks for a specific pattern in the incoming shellcode and for a URL to an up-dated payload," said Microsoft, which is offering a $250,000 reward to stop the Conficker worm. "The payload only executes if it is successfully validated by the malware. However, there doesn't appear to be an easy way for the authors to upgrade the existing Conficker network to the new variant."

The worm, which has been around since last year, spreads through a hole in Windows systems, exploiting a vulnerability that Microsoft patched in October.

Conficker also spreads via removable storage devices like USB drives, and network shares by guessing passwords and user names.

Meanwhile, the previous versions of Conficker have been busy. Conficker.A has affected more than 4.7 million IP addresses, while its successor, Conficker.B, has affected 6.7 million IP addresses, with infected hosts totaling fewer than 4 million computers for both, according to a technical report by SRI International.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com