Thông tin về sâu Conficker

Thông tin về sâu Conficker

1. Sâu Conficker được phát hiện lần đầu tiên khi nào ?

Biến thể đầu tiên của sâu Conficker xuất hiện vào ngày 21/11/2008. Sâu máy tính này khai thác lỗ hổng của hệ điều hành Windows được công bố trước đó 1 tháng (MS08-067) để lây lan. Ngay khi xuất hiện, sâu Conficker đã lây lan nhanh trên diện rộng do số máy tính không cập nhật bản vá lỗ hổng trên toàn cầu là rất lớn

2. Đến nay đã có bao nhiêu phiên bản của Confiker đượcphát hiện ?

Cho đến nay đã xuất hiện 4 biến thể chính của Conficker. Thời điểm xuất hiện của những biến thể này như sau:

- 21/11/2008: Xuất hiện biến thể đầu tiên: Conficker A
- 29/12/2008: Xuất hiện biến thể thứ 2: Conficker B (38 ngày sau khi Conficker A xuất hiện)
- 20/02/2009: Xuất hiện biến thể thứ 3: Conficker.C (Nhiều điểm tương đồng với Conficker B, nên cũng có thể được gọi là B++, xuất hiện sau Conficker B 53 ngày)
- Phiên bản hiện tại là Conficker D, xuất hiện vào ngày 04/03/2009 (sau Conficker B++ 65 ngày). ( Conficker D còn có thể được gọi là Conficker C)

3. Conficker cập nhật biến thể mới như thế nào ?

Mỗi ngày, Conficker sẽ sinh ra một danh sách các tên miền (biến thể mới nhất sinh ra tới 50.000 tên miền mỗi ngày). Từ danh sách tên miền này, Conficker sẽ kiểm tra và tìm xem tên miền nào trong danh sách đó đã được hacker kích hoạt (active) để virus sẽ kết nối vào đó nhận lệnh điều khiển mới. Ngày nào Conficker cũng thực hiện lặp lại việc này. Nếu hacker chưa kích hoạt tên miền nào trong số các tên miền mà Conficker sinh ra mỗi ngày, sẽ chưa có cuộc tấn công mới nào xảy ra. Và ngày bùng phát quay trở lại của Conficker sẽ phụ thuộc vào vào việc kẻ viết virus kích hoạt tên miền vào lúc nào.

4. Cách thức lây nhiễm và tốc độ lây nhiễm của Conficker ?

Từ 1 máy tính bị nhiễm Conficker, worm tìm các máy tính khác trong mạng và khai thác lỗ hổng MS08-067 trên máy tính nó tìm thấy, chiếm quyền điều khiển của máy tính này và như vậy máy tính này đã bị nhiễm Conficker worm. Worm cũng copy chính nó vào các đĩa USB trên máy tính, để khi đĩa USB này được dùng trên một máy tính khác, worm sẽ tự động được kích hoạt và lây tiếp vào máy tính này. Bên cạnh đó, Conficker Worm được trang bị module lây lan qua mạng ngang hàng P2P. Ngoài ra, worm còn sử dụng phương pháp dò mật khẩu của các ổ đĩa chia sẻ trên mạng LAN (cùng mạng với máy tính nhiễm worm) để lây nhiễm vào đó. Các mật khẩu được sử dụng để dò tìm (scan) là: admin123, admin, password123, root, adminadmin, mypassword, mypass, pass…

Do lây nhiễm qua lỗ hổng Windows nên tốc độ lây nhiễm của Conficker là rất nhanh, worm đã lây nhiễm hàng triệu máy tính chỉ trong vòng vài tiếng đồng hồ.

5. Những dấu hiệu nhận biết khi máy tính bị nhiễm sâu Conficker ?

Máy tính khi bị nhiễm sâu Conficker sẽ có những hiện tượng không thể update được các bản vá lỗi của Windows, dịch vụ Windows Defender bị vô hiệu hóa. Không thể truy cập được vào các website của các công ty AntiVirus (Symantec, McAfee, TrendMicro, Sophos, Panda…) và website của Microsoft.

Bên cạnh đó, phiên bản mới nhất của Conficker được trang bị thêm tính năng tự bảo vệ chính mình, và tính năng phá hủy các công cụ diệt Conficker (Removal Tool) của các hãng sản xuất phần mềm diệt virus như: Symantec W32.Downadup Removal Tool, Microsoft Malicious Software Removal Tool, Kaspersky Kido Removal Tool… Chính vì vậy, người sử dụng không thể chạy các Tool kể trên nếu máy tính đã bị nhiễm Conficker.

6. Cách phòng chống sâu Conficker ?

Để phòng chống sâu Conficker, bạn có thể thực hiện các việc sau:

- Cập nhật các bản vá cho hệ điều hành Windows
- Đặt mật khẩu đủ mạnh cho các tài khoản (account) đang sử dụng trên máy.
- Sử dụng phần mềm diệt virus có bản quyền, được cập nhật tự động, thường xuyên.

Thông tin về sâu Conficker

Thông tin về sâu Conficker

Thông tin về sâu Conficker :: Comments