• Thứ Hai, 18/05/2009 14:38 (GMT+7)

    Sâu Conficker: nỗi lo còn đó

    Mặc dù "bão Conficker" đã ngớt, nhưng các chuyên gia cho rằng nó mở đường cho kiểu tấn công tổng hợp: tốc độ, sức mạnh và hiểm độc.

    Đợt bùng phát sâu Conficker vào cuối năm 2008 đã làm cho hàng triệu máy tính trên toàn cầu từ hệ thống của hải quân Pháp, bệnh viện Anh đến hàng ngàn công ty, doanh nghiệp trở thành “con tin” của tội phạm tin học.

    Conficker hay Downadup, xuất hiện vào cuối tháng 11, tấn công vào lỗ hổng đã vá trước đó 1 tháng. Đến cuối tháng 12, các kỹ thuật đánh lừa mới xuất hiện. Và chỉ trong vài tuần đã có 9 triệu máy tính nhiễm độc.

    Ngày nay, chương trình độc hại, mặc dù không có ý định tạo “chấn động” như Sasser năm 2004, nhưng đã thu lợi một cách âm thầm bằng cách gửi spam, đánh cách thông tin tài chính, tài liệu quan trọng. Cách lây lan của nó thật gây ấn tượng với Microsoft, VeriSign, các nhà nghiên cứu và công ty cung cấp sản phẩm bảo mật.

    Quá lớn, quá nhanh
     

    Ông Vincent Weafer, phó chủ tịch của Symantec Security Response nói: “trong vụ này hacker thành công hơn mong đợi, sức mạnh nằm ở botnet”. Cả Weafer lẫn các chuyên gia bảo mật cho rằng Conficker mới chỉ là bắt đầu, bởi vì cách tự lây lan và tự download mã khai thác vào máy nạn nhân. Mục đích của tội phạm tin học là tạo 1 botnet đa năng, có thể thực hiện hành động bất chính trên phạm vi rộng lớn và tự tay điều khiển để thu lợi.  

    Sau tháng 12, các phiên bản khác của Conficker lây lan “hung hãn” hơn rất nhiều, dò trên máy nạn nhân có cài đặt chương trình chống virus, nếu có, cô lập máy tính đó bằng cách không cho cập nhật virus mới. Tuy nhiên, nó không đánh cắp dữ liệu hay mật khẩu. Weafer đoán, lý do tin tặc làm  thế là muốn né tội khi có giải thưởng 250.000 USD Microsoft đưa ra cho ai “chỉ điểm”.

    Conficker và các “đàn em” đã tạm yên ắng nhưng vẫn còn nguy cơ tiềm ẩn. Cụ thể là làm thế nào để nó có thể tồn tại trên máy tính, làm thế nào để loại bỏ nếu có và làm thế nào để chống được nó ngay từ đầu.

    Conficker lây lan thế nào?
    Nguyên bản Conficker xuất hiện sau khi Microsoft thông báo có lỗ hổng trong Windows Server Services, từ xa tin tặc có thể khai thác máy tính nạn nhân với quyền cao nhất. Micrsoft đã vá vào cuối tháng 10 nhưng nhiều máy tính cá nhân và công ty đã không kịp cập nhật.

    Biến thể đầu tiên của Conficker lây lan qua cơ chế chia sẻ trong mạng nội bộ, dùng kỹ thuật brute-force để bẻ mật khẩu bảo vệ thư mục dùng chung. Ngoài ra, USB và chức năng Autorun của Windows là 2 con đường lây lan khác của Conficker. Cắm một USB nhiễm Conficker vào PC, nó sẽ tự lây nhiễm PC của bạn mà không phải đợi bất kỳ một cú click nào. Nhiều phần mềm gây hại khác cũng lợi dung chức năng autorun để lây lan, các chuyên gia bảo mật khuyên người dùng nên tắt nó đi là hay nhất.

    Mặc dù Microsoft đã hướng dẫn trên website của họ làm thể nào để tắt autorun trên các phiên bản Windows. Nhưng đang sử dụng Windows XP người dùng có thể tắt nó bằng 1 chương trình nhỏ gọn có tại find.pcworld.com/62471, autorun được loại bỏ hoàn toàn trong Windows Registry.

    Hệ thống của bạn có an toàn?
    Theo Patrik Runald chuyên gia tư vấn bảo mật của F-Secure cho rằng một máy bị nhiễm Conficker sẽ chặn người dùng truy cập các website các công ty bảo mật. Cách đơn giản là thử truy cập một vài trang như f-secure.com, symantec.com, kaspersky.com, nếu không tới được, hệ thống có dấu hiệu nhiễm Conficker.

    Nếu PC của người dùng cài đặt chương trình chống virus, Conficker sẽ cô lập nó, không cho chương trình cập nhật từ nhà cung cấp. Cách để giải quyết tình huống PC bị Conficker khống chế là download công cụ miến phí từ F-Secure và sau đó cập nhật chương trình chống virus bạn đang sử dụng.

    Sau khi phiên bản gốc của Conficker mỗi ngày quét 250 domain khác nhau để phát tán. Một liên quân đã được thiết lập bao gồm F-Secure, Microsoft, Symantec, VeriSign và các công ty khác nhằm tạo lập vành đai ngăn chặn “hiện tượng” Conficker. Nhưng đến các biến thể tiếp theo, nó phản công giới bảo mật bằng cách truy cập 50.000 domain một ngày, hòng gia tăng quân số Conficker trên khắp internet.

    Theo Runald, việc liên kết các công ty như từng làm cần phải tiếp tục, vì đó là một nước đi thông minh để ngăn chặn kiểu tấn công tương tự ở tương lai.

    Hải Phạm
    Theo PCWorld Mỹ

     

    Virus Confilker trong thời gian qua đã lan truyền mạnh mẽ, gây ra nhiều tác hại nghiêm trọng đến hệ thống của người dùng. Đến nay vẫn chưa phát hiện được tác giả của nó cho dù Microsoft đã treo giải thưởng 250.000 USD cho ai cung cấp thông tin bắt được người đã tạo ra con virus nguy hiểm trên. Làm cách nào để biết được máy tính của bạn có bị nhiễm conflicker hay không? Hãy truy cập trang http://www.hoctructuyen.org, chọn menu Tool / Check Conflicker và xem các logo của 3 hãng bảo mật F-Secure, SecureWork và TrendMicro cùng với những chú thích kèm theo chúng ta sẽ thấy rõ điều này.

    Conflicker nói riêng và phần lớn các virus nguy hiểm khác thường ngăn ngừa không cho các máy tính bị lây nhiễm kết nối đến các trang web của hàng trăm hãng cung cấp phần mềm bảo mật nổi tiếng như F-Secure hay TrendMICRO … để tải về các bản sữa lỗi hay cập nhật chương trình diệt. Vì vậy kết quả hiển thị các logo của những nhà cung cấp trên sẽ bị lỗi như một số hình ảnh sau:
    Trong trường hợp các bạn kiểm tra mà thấy kết quả như hình trên thì hãy tải về các công cụ diệt conflicker cùng những hướng dẫn sử dụng trực tuyến tại địa chỉ http://hoctructuyen.org/downloads/virus-remove-and-scan-tool.

    Nguyễn Trần Tường Vinh
    Trường Học Trực Tuyến
    www.Hoctructuyen.Org

    Tạp chí TGVT không chịu trách nhiệm về các trang bên ngoài
    ID: O0905_4