Các máy sống dở chết dở vì Conficker kỷ niệm 1 năm 'kích hoạt'

Confickerzombies celebrate 'activation' anniversary

Anti-climactic Downadupgets one bump

By John Leyden • Getmore f-rom this author

Posted in Malware, 1stApril 2010 09:46 GMT

Theo:http://www.theregister.co.uk/2010/04/01/conficker_anniversary/

Bài được đưa lênInternet ngày: 01/04/2010

Lờingười dịch: Sau hơn 1 năm kể từ tháng 11/2008 và đúng1 năm kể từ cảnh báo bùng phát, tới nay vẫn còn botnetvới 6.5 triệu máy bị lây nhiễm Conficker mà vẫn chưa airõ mục đích và kẻ đứng đằng sau con sâu này. Nó đãtừng gây tai họa cho nhiều nơi. Nhớ rằng ViệtNam là 1 trong 3 quốc gia có botnet Conficker chiếm tỷ lệcao nhất thế giới, trong đó có các biến thể A và Bcho tới bây giờ vẫn có khả năng tự lây nhiễm. Ôngchủ của botnet này sẽ làm gì với đoàn quân mà “vẫncòn có tiềm năng gây hại nghiêm trọng” này, không aibiết được. Thế mới biết Việt Nam ta thông minh và gandạ thật. Chết lúc nào không quan trọng, miễn là đượcsử dụng siêu virus... Windows. Không biết nên khóchay nên cười nhỉ???

Ngày thứ năm đánhdấu kỷ niệm 1 năm ngày kích hoạt của siêu Conficker. Ítlưu ý đã xảy ra vào ngày 01/04/2009 và các máy bị lâynhiễm Conficker (tên hiệu Downadup) vẫn còn là âm ỉ rộngrãi, như khoảng 6,5 triệu máy cá nhân Windows vẫn còn bịlây nhiễm với mối đe dọa này.

Những máy này là“rộng mở cho những cuộc tấn công sau này”, hãng anninh mạng Symantec cảnh báo.

Thằng nhãi đằng saucon sâu này vẫn còn chưa rõ và mục đích của phần mềmđộc hại này cũng vậy. Một số người trong nền côngnghiệp chống virus, như Raimund Gến, CTO của Trend Micro,nhận thức phần mềm độc hại này đã được thiết kếđể phân phối phần mềm gây sợ hãi (lừa các máy quétchống virus được thiết kế để mè nheo các nạn nhânđể mua phần mềm có chút ít hoặc không có tiện íchgì, thường trên cơ sở của những cảnh báo giả vềnhiễm Trojan).

Các máy bị lây nhiễmvới biến dạng C của Conficker sau đó sẽ trở nên bịlây nhiễm với Bảo vệ Gián điệp 2009 (một gói phầnmềm gây sợ hãi – scareware) và máy trạm botnet Waledac,một yếu tố mà hỗ trợ lý thuyết này. Các máy bị lâynhiễm được giám sát chặt chẽ bởi các cơ quan tăngcường pháp luật và các thành viên của Nhóm Làm việcvề Conficker, một yếu tố mà đi đường dài tới việcgiải thích vì sao những cái móc đã không sử dụngbotnet khổng lồ theo sự kiểm soát của họ để gửi đispam, khởi dộng một cuộc tấn công từ chối dịch vụhoặc bất kỳ dạng nào khác của một cuộc tấn côngvới độ nhìn thấy được cao.

Phiên bản đầu tiêncủa Conficker đã bắt đầu lây lan vào tháng 11/2008, banđầu sử dụng một chỗ bị tổn thương của MicrosoftWindows được vá gần đây để gây lây nhiễm cho các hệthống. Sau đó khả năng của nó nhảy từ các đầu USBbị lây nhiễm sang các máy tính cá nhân hoặc thông quanhững chia sẻ mạng an ninh kém trở nên quan trọng hơn.Những nạn nhân sớm bao gồm cả Hạ viện, Bộ Quốcphòng và Hội đồng thành phố Manchester,

Thursdaymarks the first anniversary of the much hyped Conficker trigger date.Little of note happened on 1 April 2009 and machines infected byConficker (aka Downadup) remain largely dormant, but an estimated 6.5million Windows PCs remain infected with the threat.

Thesemachines are "wide open to further attacks", net securityfirm Symantec warns.

Therascals behind the worm remain unknown and the purpose of the malwareunclear. Some in the anti-virus industry, such as Raimund Genes, CTOof Trend Micro, reckon the malware was designed to distributescareware (fake anti-virus scanners designed to nag victims intobuying software of little or no utility, often on the basis of falsewarnings of Trojan infection).

Machinesinfected with the C variant of Conficker subsequently became infectedwith Spyware Protect 2009 (a scareware package) and the Waledacbotnet client, a factor that supports this theory. Infected machinesare closely monitored by law enforcement and by members of theConfickerWorking Group, a factor that goes a long way towards explainingwhy crooks have not used the huge botnet under their control to sendspam, launch a denial of service attack or any other form of highvisibility attack.

Thefirst version of Conficker began spreading in November 2008,initially using a recently patched Microsoft Windows vulnerability toinfect systems. Later its capability of jumping f-rom infected USBsticks onto PCs or via weakly secured network shares became moreimportant. Early victims included the Houses of Parliament, theMinistry of Defence and Manchester City Council.

Gầy đây nhất làCảnh sát của Manchester, mà đã bị ép phải tự mình rútta khỏi Máy tính của Cảnh sát Quốc gia trong 5 ngày trongtháng 2 để triển khai một chiến dịch làm sạch, và vàibệnh viện tại Anh cũng đã tê liệt bởi Conficker. OrlaCox, người quản lý các chiến dịch an ninh tại Phản ứngvề An ninh của Symantec, đã nói rằng “Confickercó thể không phải là botnet lớn nhất được biết tới,mà vẫn còn có tiềm năng gây hại nghiêm trọng”.

Khoảng 6.5 triệu máyvẫn còn bị lây nhiễm với các biến thể A hoặc B củaConficker. Biến thể C, mà đã sử dụng một phương phápP2P để lan truyền, đã chết dần vào năm ngoái khi cácnạn nhân dọn sạch các máy của họ.

Khoảng 210,000 máyđược thừa nhận bị nhiễm với biến thể này, thấphơn so với cao điểm tháng 04/2009 với 1.5 triệu nạnnhân. Biến thể khác, Conficker E, đã nổi lên vào tháng04 năm ngoái nhưng đã được lập trình để xóa khỏicác máy bị lây nhiễm một tháng trước và tất cả đãbiến mất.

Symantec đã xuất bảnvideo về tiến hóa của Conficker. Clip này cũng chạy thôngqua một danh sách các phản biện pháp được gợi ý, nhưviệc giữ các hệ thống được vá đầy đủ và chạycác phần mềm chống virus được cập nhật.

Morerecently Greater Manchester Police, which was forced to unplug itselff-rom the Police National Computer for five days in February in orderto carry out a clean-up operation, and several hospitals in the UKwere laid low by Conficker. Orla Cox, security operations manager atSymantec Security Response, said that “Conficker may not be thebiggest known botnet on the block, but it still has the potential todo serious harm”.

Approximately6.5 million systems are still infected with either the A or Bvariants of Conficker. The C variant, which used a P2P method ofspreading, has been slowly dying out over the past year as victimsclean up their systems.

Around210,000 machines are reckoned to be infected with this variant, downf-rom an April 2009 peak of 1.5 million victims. Another variant,Conficker-E, emerged on last April but was programmed to de-lete f-rominfected systems a month later and has all but disappeared.

Symantechas published a video c-harting the evolution of Conficker. The clipalso runs through a list of suggested countermeasures, such askeeping systems fully patched and running up to date anti-virus(natch). ®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com