Thứ Ba, 22 tháng 12, 2009

Dữ liệu của Conficker tô đậm các mạng bị lây nhiễm

Conficker data highlights infected networks

Robert Lemos, SecurityFocus 2009-12-16

Theo: http://www.securityfocus.com/news/11568

Bài được đưa lên Internet ngày: 16/12/2009

Lời người dịch: Lại một lần nữa hàng loạt cái tên của Việt Nam được nhắc tới ở những thứ hạng cao trong TOP 500 về mức độ lây nhiễm Conficker trong các mạng máy tính Windows đại diện cho tổng số 12.000 mạng đại diện cho các hệ thống tự quản ASN với những biến thể của nó, trong đó có những biến thể cho tới nay vẫn còn có khả năng nhân giống cao như Conficker A+B. Vị trí xếp hạng cụ thể của 6 ISP Việt Nam trong TOP 500 này có các cái tên với con số trong ngoặc đi ngay cạnh là vị trí xếp hạng tương ứng trên thế giới: VNN(4), FPT(24), Viettel(45), ETC(163), VNPT(228), SPT(324)... “Các dữ liệu chỉ ra rằng, trong khi các quốc gia lớn – như Trung Quốc - có một số lượng các máy tính bị lây nhiễm Conficker lớn, tỷ lệ chỉ 1% không gian IP của mạng lớn nhất quốc gia này chỉ ra các dấu hiệu bị lây nhiễm. Trong khi đó, các mạng lớn tại các quốc gia như Việt Nam, Indonesia và Ukraine có hơn 5% không gian địa chỉ IP của họ chỉ ra các dấu hiệu bị lây nhiễm”. Môi trường bị nhiễm độc với chỉ riêng Conficker của Việt Nam là 5%, cao nhất thế giới cùng Indonesia và Ukraine. Bây giờ thì có thể nói chắc chắn rằng botnet Conficker ở Việt Nam là một trong những botnet lớn nhất thế giới được rồi. Một lần nữa cảnh báo được đưa ra: HÃY VỨT BỎ WINDOWS CÀNG NHANH CÀNG TỐT!

Conficker có lẽ đã được kiểm soát, nhưng họ các chương trình độc hại này đang trú ngụ trên hơn 6.5 triệu máy tính trên toàn thế giới, với hơn 5% các địa chỉ IP Internet của một số mạng chỉ ra các dấu hiệu bị lây nhiễm.

Hôm thứ tư, Quỹ ShadowServer đã đưa ra một trang thống kê được sửa lại, chỉ ra cách mà 3 biến thế chính của Conficker đã lan rộng như thế nào và mức độ các mạng thế giới bị ảnh hưởng ra sao. Hơn 12,000 mạng đại diện cho số lượng các hệ thống tự quản của họ (ASN), chỉ ra những dấu hiệu bị lây nhiễm Conficker. Quỹ ShadowServer đã hạn chế các dữ liệu được hiển thị của chúng tới 500 mạng.

“Mục đích chính của chúng ta là chỉ ra Conficker đã lan truyền xa và rộng tới mức nào và ở đâu Conficker thực sự có chỗ dừng vững chắc”, André DiMino, người sáng lập và là giám đốc của Quỹ ShadowServer, nói.

Đội các nhà nghiên cứu tự nguyện này, mà nó đã giúp thiết lập Nhóm Làm việc về Conficker đầu năm nay, thu thập các dữ liệu từ các tổ chức thành viên của mình.

Dữ liệu của ShadowServer nhóm Conficker thành 2 loại. Conficker A+B cấu tạo bởi 2 biến thể đầu tiên của chương trình này, mà nó mưu toan lan truyền một cách tự động. Conficker C, một biến thể mà nó lan truyền vào tháng 3, không có cách nào nhân giống trừ phi nó được cập nhật. Tổng hợp lại, số lượng mà các địa chỉ Internet chỉ ra những dấu hiệu bị lây nhiễm Conficker A+B đang gia tăng, trong khi các dấu hiệu về sự lây nhiễm của Conficker C đang suy giảm.

Các dữ liệu chỉ ra rằng, trong khi các quốc gia lớn – như Trung Quốc - có một số lượng các máy tính bị lây nhiễm Conficker lớn, tỷ lệ chỉ 1% không gian IP của mạng lớn nhất quốc gia này chỉ ra các dấu hiệu bị lây nhiễm. Trong khi đó, các mạng lớn tại các quốc gia như Việt Nam, Indonesia và Ukraine có hơn 5% không gian địa chỉ IP của họ chỉ ra các dấu hiệu bị lây nhiễm.

Conficker may be under control, but the malicious family of programs is resident on more than 6.5 million computers worldwide, with more than 5 percent of some network's Internet addresses showing signs of infection.

On Wednesday, the ShadowServer Foundation took the wraps off a revamped statistics page, showing how far the three main variants of Conficker have spread and the degree to which the world's networks are infected. More than 12,000 networks, as represented by their autonomous system numbers (ASNs), show signs of infection by Conficker. The ShadowServer Foundation limited their displayed data to the top 500 networks.

"Our major goal is to show how far and wide Conficker has spread and where Conficker really has a foothold," said André DiMino, founder and director of the ShadowServer Foundation.

The team of volunteer researchers, which helped to establish the Conficker Working Group early this year, collects data from its member organizations.

The ShadowServer data groups Conficker into two classes. Conficker A+B consists of the first two variants of the program, which attempt to spread automatically. Conficker C, a variant that appeared in March, has no way to propagate unless it is updated. Overall, the number Internet addresses showing signs of infection by Conficker A+B are increasing, while signs of Conficker C infection are decreasing.

The data shows that, while large countries -- such as China -- have a large number of Conficker-infected machines, proportionally only 1 percent of the IP space of the country's largest network shows signs of infection. On the other hand, large networks in countries such as Vietnam, Indonesia and Ukraine have more than 5 percent of their address space showing signs of infection.

Conficker, còn được biết như Downadup và Kido, đã gây ngạc nhiên cho nhiều chuyên gia an ninh với thành công của nó trong việc nhân giống qua Internet. Lần đầu tiên được phát hiện vào tháng 11/2008, sâu này ban đầu lan ra bằng việc sử dụng một chỗ bị tổn thương trong Microsoft Windows và đã liên hệ với 250 miền ngẫu nhiên để kiểm tra việc nâng cấp. Vào tháng 4, Conficker đã biến thành một botnet mà đã duy trì các kết nối điểm – điểm, nhưng không còn lan truyền một cách tự động nữa. Trong khi các phiên bản đầu tiên của chương trình này đã liên hệ tới 250 miền ngẫu nhiên, thì phiên bản cuối cùng sản sinh ra 50,000 miền ngẫu nhiêu mỗi ngày và kết nối 500 trong số đó cho việc nâng cấp.

Kể từ đầu năm nay, Nhóm Làm việc Conficker đã đăng ký chính thức trước các miền để khóa phần mềm này khỏi việc tự cập nhật.

“Mỗi ngày các công ty an ninh bỏ thời gian và tiền bạc để đăng ký các miền”, Tom Cross, một nhà nghiên cứu về an ninh của X-Force của IBM, nói. “Họ đang làm việc này một cách vị tha. Nếu họ từ bỏ vì không ai quan tâm, và họ dừng đăng ký lại các miền này, thì sau đó các bot chủ (bot masters) có thể bắt đầu sử dụng botnet này một lần nữa”.

Vâng, bất chấp việc đã bị lây nhiễm cho 6.5 triệu máy tính, Conficker là một mối đe dọa mà nó chứa đựng một cách rộng lớn, DiMino nói. Đầu tháng 10, một số địa chỉ IP chỉ ra các dấu hiệu bị lây nhiễm đã bùng lên một chút hơn 7 triệu, giảm đi kể từ đó. Một số quốc gia - như Brazil - đã tập trung vào việc xác định và làm sạch các máy bị tổn thương. Các dữ liệu của ShadowServer chỉ ra rằng đất nước này đã có một số thành công.

“Mỗi người đang nói về Brazil (như một nguồn chính của giao thông của Conficker), nhưng họ đã và đang làm việc cật lực để làm giảm Conficker”, DiMino nói.

Quỹ ShadowServer sẽ cung cấp một báo cáo sâu sắc một cách tự do cho bất kỳ người vận hành mạng nào mà liên lạc với họ. Các báo cáo này liệt kê các IP đặc chủng chỉ ra giao thông nào của Conficker đã bị dò tìm ra.

Conficker, also known as Downadup and Kido, has surprised many security experts with its success in propagating across the Internet. First discovered in November 2008, the worm initially spread using a vulnerability in Microsoft Windows and contacted 250 random domains to check for updates. By April, Conficker had morphed into a botnet that maintained peer-to-peer connections, but no longer spread automatically. Where the first versions of the program contacted 250 random domains, the latest version generates 50,000 random domains every day and contacts 500 of them for updates.

Since early this year, the Conficker Working Group has preregistered the domains to block the software from updating itself.

"Every day the security companies spend time and money to register domains," said Tom Cross, a security researcher with IBM's X-Force. "They are doing it altruistically. If they give up because no one cares, and they stop registering those domains, then the bot masters can start using the botnet again."

Yet, despite having infected 6.5 million systems, Conficker is a threat that is largely contained, said DiMino. In early October, the number of Internet protocol (IP) addresses showing signs of infection peaked at slightly more than 7 million, falling since then. Some countries -- such as Brazil -- have focused on identifying and cleaning compromised systems. The ShadowServer data shows that the country has had some success.

"Everyone is talking about Brazil (as a major source of Conficker traffic), but they have been working hard at reducing Conficker," DiMino said.

The ShadowServer Foundation will provide an in-depth report for free to any network operator that contacts them. The reports list the specific IP addressed from which Conficker traffic has been detected.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.