Con sâu nguy hiểm Conficker lại thức giấc và “quậy phá” hàng triệu máy tính trên toàn cầu. Lần này, Conficker.e (biến thể mới của Conficker) không đi một mình mà nó còn kéo theo một “hội đồng” nhiều phần mềm độc hại khác cùng tấn công PC với mục đích giúp nó nhanh chóng đạt được mục đích tấn công nhanh nhất.
Conficker.e đã lợi dụng lỗi phần mềm của Microsoft để lây nhiễm vào ít nhất từ 3 triệu đến 12 triệu máy tính. Nó cũng đã cố gắng truy cập tới các trang web như MySpace, MSN, eBay, CNN và AOL nhằm kiểm tra xem máy tính đó có kết nối Internet hay không, và được lập trình kết thúc vào 3-5.
Ivan Macalintal, một nhà nghiên cứu của Trend Micro, cho biết biến thể mới này được bổ sung thêm khả năng kết nối với các PC bị lây nhiễm khác thông qua kết nối chia sẻ ngang hàng P2P nhằm giúp chúng có thể thuận tiện cập nhật phiên bản mới và mã lệnh tấn công lên mọi PC bị lây nhiễm ngay cả trong trường hợp máy chủ bị tiêu diệt đồng thời đẩy nhanh tốc độ phát tán biến thể mới.
Các nhà nghiên cứu vẫn đang phân tích mã phần mềm được cài trong máy tính bị nhiễm và nghi rằng nó là một phần mềm ghi lại ký tự nhập từ bàn phím hoặc một chương trình được thiết kế để ăn cắp thông tin nhạy cảm trong máy.
Theo ông Kevin Hogan, Giám đốc nhóm phản ứng với các tình trạng bảo mật của Symantec, trong “hội đồng” tấn công lần này có mặt Waledac. Đây là một dạng mã độc BOT chuyên “bắt cóc” và biến PC người dùng trở thành công cụ phát tán thư rác nổi tiếng trong vài tháng trở lại đây.
Một trong những nguyên nhân khiến Waledac nổi tiếng bởi nó được xem là phiên bản nâng cấp của con sâu máy tính khét tiếng về khả năng phát tán thư rác Storm. Cộng đồng bảo mật tin rằng những kẻ phát triển Waledac cũng nằm trong nhóm những đối tượng đã lập trình và điều khiển Storm.
Tương tự như Storm, một khi đột nhập thành công, Waledac cũng sẽ cài thêm một mã độc Trojan nhằm giúp tin tặc từ xa chiếm được quyền điều khiển và biến PC của người dùng trở thành một thành viên trong mạng BOTNET chuyên dụng phát tán thư rác.
Kiếm tiền bất hợp pháp
Lần này, hãng bảo mật Kaspersky Lab còn phát hiện Conficker.e còn kéo theo một phần mềm bảo mật giả mạo. Đây là loại phần mềm thường lừa người dùng bằng những cảnh báo bảo mật hay lây nhiễm mã độc giả mạo. Chúng sẽ liên tục bung ra những cửa sổ pop-up cảnh báo chừng nào người dùng chấp nhận trả tiền cho chúng.
Cụ thể - chuyên gia nghiên cứu Alex Gostev của Kaspersky, cho biết Conficker.e tải về và cài đặt phần mềm bảo mật giả mạo có tên SpywareProtect2009. Để loại bỏ được phần mềm phiền toái này người dùng phải chấp nhận trả cho tin tặc 50 USD.
Không giống như biến thể Conficker.c, biến thể Conficker.e đã được khôi phục lại khả năng khai thác lỗi bảo mật nguy hiểm trong Windows như đã có trong biến thể đầu tiên. Thực tế Conficker.c chỉ là phiên bản nâng cấp trực tiếp lên các PC bị lây nhiễm chứ không chủ động lây nhiễm như biến thể Conficker.b.
“Nếu tin tặc muốn tiếp tục phát tán Conficker để kiếm lợi thì tất yếu chúng lại phải phát tán và lây nhiễm con sâu máy tính này mạnh mẽ hơn lên nhiều PC hơn,” ông Kevin Hogan - Giám đốc nhóm phản ứng với các tình trạng bảo mật của Symantec - nhận định. “Tôi có thể khẳng định tới đây Conficker sẽ nguy hiểm hơn thời gian qua rất nhiều”.
Các chuyên gia cho rằng những kẻ đứng đằng sau giật dây điều khiển Conficker sau một thời gian đã bắt đầu thể hiện rõ động cơ phát triển nên con sâu máy tính nguy hiểm này. Đó chính là mục tiêu kiếm tiền từ các hoạt động bất hợp pháp. Đây mới là mục tiêu cuối cùng và quan trọng nhất của Conficker.
* Conficker đã khai thác vào các vấn đề về công nghệ, nhận thức và cách xử lý bảo mật thông tin của từng người dùng. Đó là những gì làm cho Conficker nguy hiểm và nổi tiếng
Trong một tuần nay, thông tin về sâu máy tính Conficker trở thành chủ đề chính trên các báo chuyên về công nghệ trên toàn cầu. Rất nhiều thông tin mô tả chi tiết về Conficker là gì, nơi nó đã đến, và thiệt hại tiềm năng trong tương lai. Nhưng đối với người nhiều người, điều cần thiết là những kiến thức để hiểu rõ hơn về những rủi ro liên quan đến việc kết nối với Internet.
Đặc điểm của sâu Conficker là cung cấp mã độc, tấn công người dùng cuối để phát tán và lấy thông tin cá nhân. Vì vậy, theo thiển ý của người viết, nên tập trung quan tâm vào các mối quan hệ giữa Conficker với cách thức bảo mật thông tin của người dùng cuối.
Có thể nói sâu Conficker đã đưa ra một mô hình thu nhỏ giữa các vấn đề bảo mật thông tin phức tạp cùng với những bài thực hành bảo mật thông tin tốt nhất. Dưới đây là một vài ví dụ:
1. Conficker tăng cường mối quan hệ giữa bảo mật thông và chính sách thực hiện. Những tổ chức doanh nghiệp nào thực sự quan tâm đến vấn đề bảo mật thông tin và đã cập nhật bản vá lỗi hệ thống vào tháng mười năm 2008 - trước khi Conficker xuất hiện lần đầu tiên sẽ được bảo vệ an toàn trước loại sâu này.
2. Conficker chứng minh việc cần thiết quản lý các thiết bị đọc ghi dữ liệu ngoại vi và các cổng giao tiếp. Thực vậy, sâu Conficker đã lợi dụng chức năng tự động chạy (Autorun) ở Windows và sử dụng ổ đĩa di động USB flash để nhân bản lây lan mã độc hoặc trộm cắp thông tin cá nhân. Như vậy vấn đề giải quyết mối đe dọa từ Conficker là tắt chế độ autorun, hạn chế quyền truy cập vào các ổ cứng rời hay các thẻ nhớ USB chưa được kiểm tra an toàn.
3. Conficker chứa một chương trình bẻ khoá những mật khẩu đơn giản như “123” hay “password”. Điều này cho thấy người dùng cuối nên sở hữu các mật khẩu phức tạp hơn, kể cả việc cần phải chứng thực đủ để Conficker… nản lòng.
4. Cuối cùng, sâu Conficker len nhiễm vào các file được chia sẻ trên mạng nội bộ, để từ đó phát tán đến các máy truy cập vào các file này. Việc này đáng quan tâm cho các quản trị hệ thống mạng. Họ cần phát hiện sớm vấn đề chia sẻ tài nguyên trên mạng và đưa ra những giải pháp xử lý triệt để.
Chúng ta cũng có thể dễ dàng đổ lỗi cho Microsoft đã để cho Conficker dễ dàng khai thác các lỗ hổng của hệ điều hành Windows. Nhưng thực tế Conficker đã khai thác vào các vấn đề về công nghệ, nhận thức và cách xử lý bảo mật thông tin của từng người dùng. Đó là những gì làm cho Conficker nguy hiểm và nổi tiếng./.
(Tổng hợp)