Conficker zombies celebrate 'activation' anniversary
Anti-climactic Downadup gets one bump
By John Leyden • Get more from this author
Posted in Malware, 1st April 2010 09:46 GMT
Theo: http://www.theregister.co.uk/2010/04/01/conficker_anniversary/
Bài được đưa lên Internet ngày: 01/04/2010
Lời người dịch: Sau hơn 1 năm kể từ tháng 11/2008 và đúng 1 năm kể từ cảnh báo bùng phát, tới nay vẫn còn botnet với 6.5 triệu máy bị lây nhiễm Conficker mà vẫn chưa ai rõ mục đích và kẻ đứng đằng sau con sâu này. Nó đã từng gây tai họa cho nhiều nơi. Nhớ rằng Việt Nam là 1 trong 3 quốc gia có botnet Conficker chiếm tỷ lệ cao nhất thế giới, trong đó có các biến thể A và B cho tới bây giờ vẫn có khả năng tự lây nhiễm. Ông chủ của botnet này sẽ làm gì với đoàn quân mà “vẫn còn có tiềm năng gây hại nghiêm trọng” này, không ai biết được. Thế mới biết Việt Nam ta thông minh và gan dạ thật. Chết lúc nào không quan trọng, miễn là được sử dụng siêu virus... Windows. Không biết nên khóc hay nên cười nhỉ???
Ngày thứ năm đánh dấu kỷ niệm 1 năm ngày kích hoạt của siêu Conficker. Ít lưu ý đã xảy ra vào ngày 01/04/2009 và các máy bị lây nhiễm Conficker (tên hiệu Downadup) vẫn còn là âm ỉ rộng rãi, như khoảng 6,5 triệu máy cá nhân Windows vẫn còn bị lây nhiễm với mối đe dọa này.
Những máy này là “rộng mở cho những cuộc tấn công sau này”, hãng an ninh mạng Symantec cảnh báo.
Thằng nhãi đằng sau con sâu này vẫn còn chưa rõ và mục đích của phần mềm độc hại này cũng vậy. Một số người trong nền công nghiệp chống virus, như Raimund Gến, CTO của Trend Micro, nhận thức phần mềm độc hại này đã được thiết kế để phân phối phần mềm gây sợ hãi (lừa các máy quét chống virus được thiết kế để mè nheo các nạn nhân để mua phần mềm có chút ít hoặc không có tiện ích gì, thường trên cơ sở của những cảnh báo giả về nhiễm Trojan).
Các máy bị lây nhiễm với biến dạng C của Conficker sau đó sẽ trở nên bị lây nhiễm với Bảo vệ Gián điệp 2009 (một gói phần mềm gây sợ hãi – scareware) và máy trạm botnet Waledac, một yếu tố mà hỗ trợ lý thuyết này. Các máy bị lây nhiễm được giám sát chặt chẽ bởi các cơ quan tăng cường pháp luật và các thành viên của Nhóm Làm việc về Conficker, một yếu tố mà đi đường dài tới việc giải thích vì sao những cái móc đã không sử dụng botnet khổng lồ theo sự kiểm soát của họ để gửi đi spam, khởi dộng một cuộc tấn công từ chối dịch vụ hoặc bất kỳ dạng nào khác của một cuộc tấn công với độ nhìn thấy được cao.
Phiên bản đầu tiên của Conficker đã bắt đầu lây lan vào tháng 11/2008, ban đầu sử dụng một chỗ bị tổn thương của Microsoft Windows được vá gần đây để gây lây nhiễm cho các hệ thống. Sau đó khả năng của nó nhảy từ các đầu USB bị lây nhiễm sang các máy tính cá nhân hoặc thông qua những chia sẻ mạng an ninh kém trở nên quan trọng hơn. Những nạn nhân sớm bao gồm cả Hạ viện, Bộ Quốc phòng và Hội đồng thành phố Manchester,
Thursday marks the first anniversary of the much hyped Conficker trigger date. Little of note happened on 1 April 2009 and machines infected by Conficker (aka Downadup) remain largely dormant, but an estimated 6.5 million Windows PCs remain infected with the threat.
These machines are "wide open to further attacks", net security firm Symantec warns.
The rascals behind the worm remain unknown and the purpose of the malware unclear. Some in the anti-virus industry, such as Raimund Genes, CTO of Trend Micro, reckon the malware was designed to distribute scareware (fake anti-virus scanners designed to nag victims into buying software of little or no utility, often on the basis of false warnings of Trojan infection).
Machines infected with the C variant of Conficker subsequently became infected with Spyware Protect 2009 (a scareware package) and the Waledac botnet client, a factor that supports this theory. Infected machines are closely monitored by law enforcement and by members of the Conficker Working Group, a factor that goes a long way towards explaining why crooks have not used the huge botnet under their control to send spam, launch a denial of service attack or any other form of high visibility attack.
The first version of Conficker began spreading in November 2008, initially using a recently patched Microsoft Windows vulnerability to infect systems. Later its capability of jumping from infected USB sticks onto PCs or via weakly secured network shares became more important. Early victims included the Houses of Parliament, the Ministry of Defence and Manchester City Council.
Gầy đây nhất là Cảnh sát của Manchester, mà đã bị ép phải tự mình rút ta khỏi Máy tính của Cảnh sát Quốc gia trong 5 ngày trong tháng 2 để triển khai một chiến dịch làm sạch, và vài bệnh viện tại Anh cũng đã tê liệt bởi Conficker. Orla Cox, người quản lý các chiến dịch an ninh tại Phản ứng về An ninh của Symantec, đã nói rằng “Conficker có thể không phải là botnet lớn nhất được biết tới, mà vẫn còn có tiềm năng gây hại nghiêm trọng”.
Khoảng 6.5 triệu máy vẫn còn bị lây nhiễm với các biến thể A hoặc B của Conficker. Biến thể C, mà đã sử dụng một phương pháp P2P để lan truyền, đã chết dần vào năm ngoái khi các nạn nhân dọn sạch các máy của họ.
Khoảng 210,000 máy được thừa nhận bị nhiễm với biến thể này, thấp hơn so với cao điểm tháng 04/2009 với 1.5 triệu nạn nhân. Biến thể khác, Conficker E, đã nổi lên vào tháng 04 năm ngoái nhưng đã được lập trình để xóa khỏi các máy bị lây nhiễm một tháng trước và tất cả đã biến mất.
Symantec đã xuất bản video về tiến hóa của Conficker. Clip này cũng chạy thông qua một danh sách các phản biện pháp được gợi ý, như việc giữ các hệ thống được vá đầy đủ và chạy các phần mềm chống virus được cập nhật.
More recently Greater Manchester Police, which was forced to unplug itself from the Police National Computer for five days in February in order to carry out a clean-up operation, and several hospitals in the UK were laid low by Conficker. Orla Cox, security operations manager at Symantec Security Response, said that “Conficker may not be the biggest known botnet on the block, but it still has the potential to do serious harm”.
Approximately 6.5 million systems are still infected with either the A or B variants of Conficker. The C variant, which used a P2P method of spreading, has been slowly dying out over the past year as victims clean up their systems.
Around 210,000 machines are reckoned to be infected with this variant, down from an April 2009 peak of 1.5 million victims. Another variant, Conficker-E, emerged on last April but was programmed to delete from infected systems a month later and has all but disappeared.
Symantec has published a video charting the evolution of Conficker. The clip also runs through a list of suggested countermeasures, such as keeping systems fully patched and running up to date anti-virus (natch). ®
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.