Lây nhiễm Conficker sụt giảm sau một đêm

Confickerinfections d-rop overnight

Published: 2010-01-04

Theo:http://www.securityfocus.com/brief/1054

Bài được đưa lênInternet ngày: 04/01/2009

Lờingười dịch: Số lượng máy tính bị lây nhiễm Confickertụt đi khoảng 1 triệu máy chỉ trong một đêm cuối năm2009. Người ta còn chưa rõ lý do, nhưng dù sao cũng là mộttin vui cho mọi người khi đón năm mới.

Mọi người có thêmmột lý do để kỷ niệm năm mới, theo Quỹ Shadowserver:Gần 1 triệu máy tính bị nhiễm Conficker đã biến mấtsau một đêm một cách kỳ lạ.

Vào ngày 01/01, sốlượng các địa chỉ IP chỉ ra những dấu hiệu bị lâynhiễm đã giảm từ khoảng 820,000 xuống còn 5.3 triệu,theo các dữ liệu từ Quỹ Shadowserver và Nhóm Làm việcvề Conficker. Sự sụt giảm này đã tiếp tục cảnh báonhững botnet trong những ngày cuối tháng 12. Vào ngày29/12, các địa chỉ IP chỉ ra những dấu hiệu lây nhiễmConficker đạt điểm 6.5 triệu trước khi hạ xuống 5.3triệu vào ngày đầu của năm mới.

Andre DiMino, giám đốcvà là người sáng lập Quỹ Shadowserver, đã nói nhóm nàyđã không có đủ dữ liệu để xác định nguyên nhâncủa sự sụt giảm này.

“Vì là những ngàynghỉ lễ, vì một số lượng lớn các máy tính cá nhânPC làm việc đã bị tắt? Hoặc các công ty đã dùng thờigian này để dọn sạch vấn đề này? Chúng tôi thực sựchưa có kết luận nào cả”, ông nói.

Conficker, cong đượcbiết tới như là Downadup và Kido, đã gây ngạc nhiên chonhiều chuyên gia về an ninh với sự thành công của nótrong việc phát tán trên khắp Internet. Lần đầu tiênđược phát hiện vào tháng 11/2008, sâu này ban đầu lantruyền sử dụng một chỗ bị tổn thương trong MicrosoftWindows và đã kết nối được tới 250 miền một cáchngẫu nhiên để kiểm tra các cập nhật. Vào tháng 4,Conficker đã thâm nhập vào các botnet mà chúng duy trì cáckết nối điểm – điểm, nhưng không còn lan truyền mộtcách tự động nữa. Trong khi những phiên bản đầu tiêncủa chương trình này đã kết nối tới 250 miền mộtcách ngẫu nhiên, thì phiên bản cuối cùng tạo ra 50,000miền ngẫu nhiên mỗi ngày và kết nối 500 trong số chúngđể cập nhật. Nhóm Làm việc về Conficker đã khóa phầnmềm này khỏi việc tự cập nhật bằng việc đăng kýtrước các miền và cung cấp các tài nguyên cho các côngty để giúp dò tìm và loại bỏ các lây nhiễm.

Tháng trước, QuỹShadowserver đã bắt đầu đưa ra tên của các chủ mạngmà đã tiếp tục có số lượng lớn các máy tính bịlây nhiễm. Những con số này khá là ổn định trongtháng, giữa 6.0 triệu và 6.7 triệu địa chỉ IP, cho tớikhi nó sụt giảm vào ngày 29.

Cho dù, sự sụt giảmnày có thể là không được lâu. Vào thứ bảy, nhữngtín hiệu về sự lây nhiễm đã bật trở lại 5.6 triệu.

“Nó bắt đầu bòtrở lại, nhưng chúng tôi vẫn có 1 triệu máy hết lâynhiễm từ những gì đã có trước đó”, DiMino nói. “Nóthực sự là thú vị vào thứ hai và thứ ba, khi các máytính bắt đầu trở lại làm việc. Điều đó thực sựsẽ nói cho chúng ta biết liệu điều này có là đượcchữa trị hay chỉ là một sự lóe sáng”.

Peoplehave one more reason to celebrate the new year, according to theShadowserver Foundation: Nearly a million Conficker-infectedcomputers have oddly disappeared overnight.

OnJan. 1, the number of IP addresses showing signs of infection d-roppedby about 820,000, to 5.3 million, according to data f-rom theShadowserverFoundation and the ConfickerWorking Group. The d-rop continued the botnet's waning during thelatter days of December: On December 29, IP addresses showing signsof Conficker infections peaked at 6.5 million before d-ropping to 5.3million at the start of the new year.

Andre'DiMino, director and founder of the Shadowserver Foundation, said thegroup did not have enough data yet to determine the cause of thed-rop.

"Isit because of the holidays, because a large number of work PCs wereturned off? Or did companies take the time to clean up the problem?We really don't have any conclusions yet," he said.

Conficker,also known as Downadup and Kido, has surprisedmany security experts with its success in propagating across theInternet. First discovered in November 2008, the worm initiallyspread using a vulnerability in Microsoft Windows and contacted 250random domains to check for up-dates. By April, Conficker had morphedinto a botnet that maintained peer-to-peer connections, but no longerspread automatically. Whe-re the first versions of the programcontacted 250 random domains, the latest version generates 50,000random domains every day and contacts 500 of them for up-dates. TheConficker Working Group has blocked the software f-rom updating itselfby pre-registering domains and provides resources to companies tohelp detect and remove infections.

Lastmonth, the Shadowserver Foundation startedpublishing the names of the network owners who continued to havea large number of infected computers. Those numbers stayed fairlyconsistent during the month, between 6.0 million and 6.7 million IPaddresses, until it started d-ropping on the 29th.

Thed-rop may not be long lived, however. By Saturday, the signs ofinfection had already rebounded to 5.6 million.

"It'sstarting to creep back up, but we are still a million off f-rom whe-rewe were," DiMino said. "It will really be interesting comeMonday and Tuesday, when machines start coming back on. That willreally tell us whether this was remedyation or just a blip."

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com