Dữ liệu của Conficker tô đậm các mạng bị lây nhiễm

Confickerdata highlights infected networks

Robert Lemos,SecurityFocus 2009-12-16

Theo:http://www.securityfocus.com/news/11568

Bài được đưa lênInternet ngày: 16/12/2009

Lờingười dịch: Lại một lần nữa hàng loạt cái tên củaViệt Nam được nhắc tới ở những thứ hạng cao trongTOP500 về mức độ lây nhiễm Conficker trong các mạng máytính Windows đại diện cho tổng số 12.000 mạng đại diệncho các hệ thống tự quản ASN với những biến thể củanó, trong đó có những biến thể cho tới nay vẫn còn cókhả năng nhân giống cao như Conficker A+B. Vịtrí xếp hạng cụ thể của 6 ISP Việt Nam trong TOP 500này có các cái tên với con số trong ngoặc đi ngay cạnhlà vị trí xếp hạng tương ứng trên thế giới: VNN(4),FPT(24), Viettel(45), ETC(163), VNPT(228), SPT(324)... “Các dữliệu chỉ ra rằng, trong khi các quốc gia lớn – nhưTrung Quốc - có một số lượng các máy tính bị lâynhiễm Conficker lớn, tỷ lệ chỉ 1% không gian IP của mạnglớn nhất quốc gia này chỉ ra các dấu hiệu bị lâynhiễm. Trong khi đó, các mạng lớn tại các quốc gia nhưViệt Nam, Indonesia và Ukraine có hơn 5% không gian địa chỉIP của họ chỉ ra các dấu hiệu bị lây nhiễm”. Môitrường bị nhiễm độc với chỉ riêng Conficker của ViệtNam là 5%, cao nhất thế giới cùng Indonesia và Ukraine. Bâygiờ thì có thể nói chắc chắn rằng botnet Conficker ởViệt Nam là một trong những botnet lớn nhất thế giớiđược rồi. Một lần nữa cảnh báo được đưa ra: HÃYVỨT BỎ WINDOWS CÀNG NHANH CÀNG TỐT!

Conficker có lẽ đãđược kiểm soát, nhưng họ các chương trình độc hạinày đang trú ngụ trên hơn 6.5 triệu máy tính trên toànthế giới, với hơn 5% các địa chỉ IP Internet của mộtsố mạng chỉ ra các dấu hiệu bị lây nhiễm.

Hôm thứ tư, QuỹShadowServer đã đưa ra một trang thống kê được sửalại, chỉ ra cách mà 3 biến thế chính của Conficker đãlan rộng như thế nào và mức độ các mạng thế giớibị ảnh hưởng ra sao. Hơn 12,000 mạng đại diện cho sốlượng các hệ thống tự quản của họ (ASN), chỉ ranhững dấu hiệu bị lây nhiễm Conficker. Quỹ ShadowServerđã hạn chế các dữ liệu được hiển thị của chúngtới 500 mạng.

“Mục đích chínhcủa chúng ta là chỉ ra Conficker đã lan truyền xa và rộngtới mức nào và ở đâu Conficker thực sự có chỗ dừngvững chắc”, André DiMino, người sáng lập và là giámđốc của Quỹ ShadowServer, nói.

Đội các nhà nghiêncứu tự nguyện này, mà nó đã giúp thiết lập Nhóm Làmviệc về Conficker đầu năm nay, thu thập các dữ liệu từcác tổ chức thành viên của mình.

Dữ liệu củaShadowServer nhóm Conficker thành 2 loại. Conficker A+B cấu tạobởi 2 biến thể đầu tiên của chương trình này, mà nómưu toan lan truyền một cách tự động. Conficker C, mộtbiến thể mà nó lan truyền vào tháng 3, không có cách nàonhân giống trừ phi nó được cập nhật. Tổng hợp lại,số lượng mà các địa chỉ Internet chỉ ra những dấuhiệu bị lây nhiễm Conficker A+B đang gia tăng, trong khi cácdấu hiệu về sự lây nhiễm của Conficker C đang suy giảm.

Cácdữ liệu chỉ ra rằng, trong khi các quốc gia lớn – nhưTrung Quốc - có một số lượng các máy tính bị lâynhiễm Conficker lớn, tỷ lệ chỉ 1% không gian IP của mạnglớn nhất quốc gia này chỉ ra các dấu hiệu bị lâynhiễm. Trong khi đó, các mạng lớn tại các quốc gia nhưViệt Nam, Indonesia và Ukraine có hơn 5% không gian địa chỉIP của họ chỉ ra các dấu hiệu bị lây nhiễm.

Confickermay be under control, but the malicious family of programs isresident on more than 6.5 million computers worldwide, with more than5 percent of some network's Internet addresses showing signs ofinfection.

OnWednesday, the ShadowServer Foundation took the wraps off a revampedstatistics page, showing how far the three main variants ofConficker have spread and the degree to which the world's networksare infected. More than 12,000 networks, as represented by theirautonomous system numbers (ASNs), show signs of infection byConficker. The ShadowServer Foundation limited their displayed datato the top 500 networks.

"Ourmajor goal is to show how far and wide Conficker has spread and whe-reConficker really has a foothold," said André DiMino, founderand director of the ShadowServer Foundation.

Theteam of volunteer researchers, which helped to establish theConficker Working Group early this year, collects data f-rom itsmember organizations.

TheShadowServer data groups Conficker into two classes. Conficker A+Bconsists of the first two variants of the program, which attempt tospread automatically. Conficker C, a variant that appeared in March,has no way to propagate unless it is up-dated. Overall, the numberInternet addresses showing signs of infection by Conficker A+B areincreasing, while signs of Conficker C infection are decreasing.

Thedata shows that, while large countries -- such as China -- have alarge number of Conficker-infected machines, proportionally only 1percent of the IP space of the country's largest network shows signsof infection. On the other hand, large networks in countries such asVietnam, Indonesia and Ukraine have more than 5 percent of theiraddress space showing signs of infection.

Conficker, còn đượcbiết như Downadup và Kido, đã gây ngạc nhiên cho nhiềuchuyên gia an ninh với thành công của nó trong việc nhângiống qua Internet. Lần đầu tiên được phát hiện vàotháng 11/2008, sâu này ban đầu lan ra bằng việc sử dụngmột chỗ bị tổn thương trong Microsoft Windows và đã liênhệ với 250 miền ngẫu nhiên để kiểm tra việc nângcấp. Vào tháng 4, Conficker đã biến thành một botnet màđã duy trì các kết nối điểm – điểm, nhưng không cònlan truyền một cách tự động nữa. Trong khi các phiênbản đầu tiên của chương trình này đã liên hệ tới250 miền ngẫu nhiên, thì phiên bản cuối cùng sản sinhra 50,000 miền ngẫu nhiêu mỗi ngày và kết nối 500 trongsố đó cho việc nâng cấp.

Kể từ đầu nămnay, Nhóm Làm việc Conficker đã đăng ký chính thức trướccác miền để khóa phần mềm này khỏi việc tự cậpnhật.

“Mỗingày các công ty an ninh bỏ thời gian và tiền bạc đểđăng ký các miền”, Tom Cross, một nhà nghiên cứu vềan ninh của X-Force của IBM, nói. “Họ đang làm việc nàymột cách vị tha. Nếu họ từ bỏ vì không ai quan tâm,và họ dừng đăng ký lại các miền này, thì sau đó cácbot chủ (bot masters) có thể bắt đầu sử dụng botnet nàymột lần nữa”.

Vâng, bất chấp việcđã bị lây nhiễm cho 6.5 triệu máy tính, Conficker là mộtmối đe dọa mà nó chứa đựng một cách rộng lớn,DiMino nói. Đầu tháng 10, một số địa chỉ IP chỉ racác dấu hiệu bị lây nhiễm đã bùng lên một chút hơn7 triệu, giảm đi kể từ đó. Một sốquốc gia - như Brazil - đã tập trung vào việc xác địnhvà làm sạch các máy bị tổn thương. Các dữ liệu củaShadowServer chỉ ra rằng đất nước này đã có một sốthành công.

“Mỗingười đang nói về Brazil (như một nguồn chính của giaothông của Conficker), nhưng họ đã và đang làm việc cậtlực để làm giảm Conficker”, DiMino nói.

Quỹ ShadowServer sẽcung cấp một báo cáo sâu sắc một cách tự do cho bấtkỳ người vận hành mạng nào mà liên lạc với họ. Cácbáo cáo này liệt kê các IP đặc chủng chỉ ra giao thôngnào của Conficker đã bị dò tìm ra.

Conficker,also known as Downadup and Kido, has surprised many security expertswith its success in propagating across the Internet. First discoveredin November 2008, the worm initially spread using a vulnerability inMicrosoft Windows and contacted 250 random domains to check forup-dates. By April, Conficker had morphed into a botnet thatmaintained peer-to-peer connections, but no longer spreadautomatically. Whe-re the first versions of the program contacted 250random domains, the latest version generates 50,000 random domainsevery day and contacts 500 of them for up-dates.

Sinceearly this year, the Conficker Working Group has preregistered thedomains to block the software f-rom updating itself.

"Everyday the security companies spend time and money to register domains,"said Tom Cross, a security researcher with IBM's X-Force. "Theyare doing it altruistically. If they give up because no one cares,and they stop registering those domains, then the bot masters canstart using the botnet again."

Yet,despite having infected 6.5 million systems, Conficker is a threatthat is largely contained, said DiMino. In early October, the numberof Internet protocol (IP) addresses showing signs of infection peakedat slightly more than 7 million, falling since then. Some countries-- such as Brazil -- have focused on identifying and cleaningcompromised systems. The ShadowServer data shows that the country hashad some success.

"Everyoneis talking about Brazil (as a major source of Conficker traffic), butthey have been working hard at reducing Conficker," DiMino said.

TheShadowServer Foundation will provide an in-depth report for free toany network operator that contacts them. The reports list thespecific IP addressed f-rom which Conficker traffic has been detected.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com