Lây nhiễm Conficker sụt giảm sau một đêm

Conficker infections drop overnight

Published: 2010-01-04

Theo: http://www.securityfocus.com/brief/1054

Bài được đưa lên Internet ngày: 04/01/2009

Lời người dịch: Số lượng máy tính bị lây nhiễm Conficker tụt đi khoảng 1 triệu máy chỉ trong một đêm cuối năm 2009. Người ta còn chưa rõ lý do, nhưng dù sao cũng là một tin vui cho mọi người khi đón năm mới.

Mọi người có thêm một lý do để kỷ niệm năm mới, theo Quỹ Shadowserver: Gần 1 triệu máy tính bị nhiễm Conficker đã biến mất sau một đêm một cách kỳ lạ.

Vào ngày 01/01, số lượng các địa chỉ IP chỉ ra những dấu hiệu bị lây nhiễm đã giảm từ khoảng 820,000 xuống còn 5.3 triệu, theo các dữ liệu từ Quỹ Shadowserver và Nhóm Làm việc về Conficker. Sự sụt giảm này đã tiếp tục cảnh báo những botnet trong những ngày cuối tháng 12. Vào ngày 29/12, các địa chỉ IP chỉ ra những dấu hiệu lây nhiễm Conficker đạt điểm 6.5 triệu trước khi hạ xuống 5.3 triệu vào ngày đầu của năm mới.

Andre DiMino, giám đốc và là người sáng lập Quỹ Shadowserver, đã nói nhóm này đã không có đủ dữ liệu để xác định nguyên nhân của sự sụt giảm này.

“Vì là những ngày nghỉ lễ, vì một số lượng lớn các máy tính cá nhân PC làm việc đã bị tắt? Hoặc các công ty đã dùng thời gian này để dọn sạch vấn đề này? Chúng tôi thực sự chưa có kết luận nào cả”, ông nói.

Conficker, cong được biết tới như là Downadup và Kido, đã gây ngạc nhiên cho nhiều chuyên gia về an ninh với sự thành công của nó trong việc phát tán trên khắp Internet. Lần đầu tiên được phát hiện vào tháng 11/2008, sâu này ban đầu lan truyền sử dụng một chỗ bị tổn thương trong Microsoft Windows và đã kết nối được tới 250 miền một cách ngẫu nhiên để kiểm tra các cập nhật. Vào tháng 4, Conficker đã thâm nhập vào các botnet mà chúng duy trì các kết nối điểm – điểm, nhưng không còn lan truyền một cách tự động nữa. Trong khi những phiên bản đầu tiên của chương trình này đã kết nối tới 250 miền một cách ngẫu nhiên, thì phiên bản cuối cùng tạo ra 50,000 miền ngẫu nhiên mỗi ngày và kết nối 500 trong số chúng để cập nhật. Nhóm Làm việc về Conficker đã khóa phần mềm này khỏi việc tự cập nhật bằng việc đăng ký trước các miền và cung cấp các tài nguyên cho các công ty để giúp dò tìm và loại bỏ các lây nhiễm.

Tháng trước, Quỹ Shadowserver đã bắt đầu đưa ra tên của các chủ mạng mà đã tiếp tục có số lượng lớn các máy tính bị lây nhiễm. Những con số này khá là ổn định trong tháng, giữa 6.0 triệu và 6.7 triệu địa chỉ IP, cho tới khi nó sụt giảm vào ngày 29.

Cho dù, sự sụt giảm này có thể là không được lâu. Vào thứ bảy, những tín hiệu về sự lây nhiễm đã bật trở lại 5.6 triệu.

“Nó bắt đầu bò trở lại, nhưng chúng tôi vẫn có 1 triệu máy hết lây nhiễm từ những gì đã có trước đó”, DiMino nói. “Nó thực sự là thú vị vào thứ hai và thứ ba, khi các máy tính bắt đầu trở lại làm việc. Điều đó thực sự sẽ nói cho chúng ta biết liệu điều này có là được chữa trị hay chỉ là một sự lóe sáng”.

People have one more reason to celebrate the new year, according to the Shadowserver Foundation: Nearly a million Conficker-infected computers have oddly disappeared overnight.

On Jan. 1, the number of IP addresses showing signs of infection dropped by about 820,000, to 5.3 million, according to data from the Shadowserver Foundation and the Conficker Working Group. The drop continued the botnet's waning during the latter days of December: On December 29, IP addresses showing signs of Conficker infections peaked at 6.5 million before dropping to 5.3 million at the start of the new year.

Andre' DiMino, director and founder of the Shadowserver Foundation, said the group did not have enough data yet to determine the cause of the drop.

"Is it because of the holidays, because a large number of work PCs were turned off? Or did companies take the time to clean up the problem? We really don't have any conclusions yet," he said.

Conficker, also known as Downadup and Kido, has surprised many security experts with its success in propagating across the Internet. First discovered in November 2008, the worm initially spread using a vulnerability in Microsoft Windows and contacted 250 random domains to check for updates. By April, Conficker had morphed into a botnet that maintained peer-to-peer connections, but no longer spread automatically. Where the first versions of the program contacted 250 random domains, the latest version generates 50,000 random domains every day and contacts 500 of them for updates. The Conficker Working Group has blocked the software from updating itself by pre-registering domains and provides resources to companies to help detect and remove infections.

Last month, the Shadowserver Foundation started publishing the names of the network owners who continued to have a large number of infected computers. Those numbers stayed fairly consistent during the month, between 6.0 million and 6.7 million IP addresses, until it started dropping on the 29th.

The drop may not be long lived, however. By Saturday, the signs of infection had already rebounded to 5.6 million.

"It's starting to creep back up, but we are still a million off from where we were," DiMino said. "It will really be interesting come Monday and Tuesday, when machines start coming back on. That will really tell us whether this was remedyation or just a blip."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com