Ten loại virus tàn phá khủng khiếp nhất lịch sử Internet

Internet gần như đã trở thành thiên đường cho những người mê công nghệ, là nơi ẩn náu cho game thủ và là nguồn lợi nhuận của doanh nhân. Nhưng mạng thông tin toàn cầu cũng là sân chơi của những tay hacker quái quỷ.

Lịch sử 20 năm của Internet có riêng một mảng đậm màu vì dấu ấn các vụ phá hoại. Khi liên kết lại với nhau, chỉ một khe hở phần mềm bị khai thác, cả mạng lưới hàng triệu máy tính rúng động và số tiền thiệt hại lên đến hàng tỉ USD. Dưới đây là 10 loại sâu (worm) và virus gây ra những vụ phá hoại tồi tệ nhất trong lịch sử Internet.
1. Jerusalem (tên khác: BlackBox)
Được phát hiện vào năm 1987, Jerusalem là một trong những virus máy tính đầu tiên trên thế giới và được đặt tên theo thành phố mà nó bị phát hiện lần đầu tiên.

Virus Jerusalem nổi tiếng vì sự phá hoại tàn khốc lạnh lùng: Xóa sạch bách dữ liệu và file chương trình nếu được thực thi vào Thứ Sáu ngày 13.

Đây là loại virus lây lan trên máy tính chạy hệ điều hành MS-DOS - hệ điều hành phổ biến nhất trên PC trước khi Windows 95 trở thành một hệ điều hành thực thụ. Khi bị lây nhiễm, tất cả các file chương trình (có phần mở rộng là .EXE hoặc .COM) đều tăng kích thước file vì bị chèn thêm mã độc, trừ file COMMAND.COM chứa tập lệnh nội trú của DOS.

Jerusalem sau đó còn "đẻ" ra thêm nhiều biến thể của nó như virus Suriv chuyên xóa file dữ liệu trên máy vào những thời điểm nhất định trong năm (thường là Ngày nói dối 1/4 hoặc Thứ Sáu ngày 13).

Bằng thuật toán lẩn trốn khôn khéo và sự "ngây thơ" của người dùng trước kiểu tấn công này, "dòng họ" Jerusalem trở thành virus phổ biến nhất thời kỳ đó. Sự phá hoại của chúng dần giảm xuống khi Windows dần dần phổ biến hơn.

2. Michelangelo
Năm 1991, hàng ngàn máy tính chạy MS-DOS ngừng hoạt động vì một loại virus tự động kích hoạt vào đúng ngày sinh nhật của nhà điêu khắc lừng danh Michelangelo - 6/3. Vào đúng ngày này, virus sẽ ghi đè dữ liệu lên toàn bộ ổ cứng, đồng thời thay đổi cả Master Boot Record (MBR - vùng ghi dữ liệu để nhận dạng và khởi động trên ổ cứng) để ổ cứng không thể phục hồi bằng những công cụ thông thường như lệnh FDisk hay Format.

Sau ngày 6/3/1991, khoảng 10 - 20 nghìn máy tính được báo cáo dữ liệu bị phá hủy. Tuy nhiên, con số thực tế cao gấp nhiều lần số đó. Nguyên nhân vì hệ thống mạng thông tin tại thời điểm này chưa phổ biến như hiện nay.

Những tác hại do virus Michelangelo gây ra là lời cảnh báo hữu hiệu đối với những người dùng máy tính. Một năm sau đó, ngày 6/3/1992, doanh số bán phần mềm diệt virus tăng đột biến. Nhiều người lần đầu đặt mua loại phần mềm này chỉ vì không muốn ổ cứng của mình trở thành "cục chặn giấy công nghệ cao".

3. Storm Worm:

Sâu Storm là một trong những phần mềm độc hại "trẻ" nhất trong danh sách này vì mới "chào đời" giữa tháng 1/2007. Tên của nó được đặt là Storm (cơn bão) vì chúng lây lan qua bức email mang tiêu đề "230 người chết khi cơn bão đổ bộ vào Châu Âu", đánh vào tậm lý người dùng máy tính bởi cơn bão Kyrill tồi tệ đang hoành hành ở châu lục này.

Mặc dù bị phát hiện ngay sau khi phát tán 3 ngày, sâu Storm đã kịp kiểm soát 8% số máy tính lây nhiễm. Tất cả bị "trói" vào một mạng máy tính ma (botnet), trở thành công cụ để ăn trộm thông tin máy chủ, tấn công từ chối dịch vụ (DDOS) các website và liên tục gửi email tới các địa chỉ khác.

Storm nổi tiếng vì sự đeo bám "dai dẳng" vào hệ thống và rất khó gỡ bỏ. Một khi đã trở thành mắt xích trong mạng botnet, máy tính liên tục bị cập nhật bởi những kỹ thuật DNS thay đổi không ngừng. Vì thế, máy tính bị "trói" vào mạng và khó có thể gỡ bỏ hoàn toàn.

Tính đến tháng 9/2007, khoảng 1-10 triệu máy tính trên toàn thế giới bị trói vào các mạng botnet. Chúng bị lây nhiễm từ 1 trong số 1,2 tỷ email giả mạo gửi đi từ các máy tính bị nhiễm khác.


4. Sobig:
Năm 2003, Sobig và những biến thể thay đổi chiêu thức tấn công tạo nên một cơn bão mới. Thay vì đính kèm file thực thi dạng .EXE, mã độc của Sobig lại được đính kèm trong email với file có đuôi .PIF hoặc .SCR tưởng như vô hại. Nhưng chỉ cần click chuột vào là máy tính lập tức bị nhiễm, Sobig tự kích hoạt dịch vụ gửi mail SMTP của nó, lấy địa chỉ trong danh bạ và lại tiếp tục phát tán thư giả mạo.

May mắn là Sobig và biến thể quá phụ thuộc vào các website để chạy các kịch bản liên quan. Vì thế chúng sơm bị loại bỏ. Tuy nhiên, thống kê sau "thảm họa", Sobig cũng kịp "xử lý" 500.000 máy tính trên toàn cầu với tổn thất lên tới 1 tỷ USD.

5. MSBlast (Blaster):

Tháng 7/2003, Microsoft thông báo một lỗ hổng bảo mật của Windows. Chỉ một tháng sau đó, lổ hổng này bị khai thác. Sâu MSBlast có tên gọi theo tác giả viết ra nó đã lang thang khắp các máy tính toàn cầu với thông điệp gửi Bill Gates, Chủ tịch hãng phần mềm Microsoft: "billy gates đã làm điều này. Hãy dừng kiếm tiền lại mà sửa máy tính đi" (billy gates why do you make this possible? Stop making money and fix your software!!)


Khi lây nhiễm, MSBlast tự động cài đặt một máy chủ với giao thức TFTP (Trivial File Transfer Protocol - Giao thức truyền file ... tầm thường) và tải mã độc xuống máy này.

Chỉ trong vòng vài giờ, khoảng 7.000 máy tính bị lây nhiễm và sâu MSBlast cũng bị phát hiện. Microsoft thì làm việc ngày đêm để đưa ra bộ gỡ bỏ sâu MSBlast (Windows Blaster Worm Removal Tool) vào tháng 1/2004. Đến khi đó, khoảng 25 triệu máy tính toàn cầu được thông báo đã "dính" sâu MSBlast.

Không thấy đề cập đến số phận chủ nhân của sâu MSBlast, nhưng chàng thanh niên 19 tuổi Jeffrey Lee Parson (Mỹ) đã phải ngồi tủ 18 tháng và 10 tháng quản thúc địa phương vì phát tán những biến thể của MSBlast tới khoảng 50.000 máy tính khác.

(st)

Trên Internet có một mặt trận đấu trí giữa các chuyên gia an ninh mạng và hacker phá hoại. Sức ép về tiến độ, lợi nhuận càng để lại nhiều lỗ hổng trong phần mềm và điều đó tạo nhiều "công ăn việc làm" cho cả 2 phe.

Cùng với thời gian, cuộc đấu trí ngày càng trở nên tinh vi và khắt khe hơn. Dân hacker nhận ra rằng nếu chỉ khai thác những lỗi kỹ thuật đơn thuần thì "cửa" vào máy tính sẽ hẹp hơn nhiều. Vì thế, chúng liên tục tìm cách dụ dỗ, lừa đảo để người dùng tự mắc bẫy.

6. Melissa:
Sâu Melissa rất thành công trong sự nghiệp phá hoại máy tính của mình vì lợi dụng những người dùng "thích sex nhưng không muốn bỏ ra gì cả". Nhiều người hấp tấp download file List.DOC từ một nhóm thảo luận có tên Usenet cũng chỉ vì nghe đồn trong file chứa mã truy cập miễn phí tới hơn 80 trang web khiêu dâm nóng bỏng.

Website chưa thấy đâu nhưng Melissa gần như đánh sập mạng Internet thời điểm đó bằng trò gửi email đồng loạt và liên tục. Nó "ăn" sâu vào phần mềm soạn thảo văn bản MS Word version 97 hoặc 2000, đánh cắp 50 địa chỉ người đầu tiên trong danh bạ của Outlook 97/98 mỗi khi mở văn bản soạn thảo và bắt đầu công cuộc spam tự động. Melissa cũng tự động chèn thông báo từ chương trình TV vào văn bản, xóa các file hệ thống quan trọng của Windows.

Theo ước tính, sâu Melissa đã gây thiệt hại tới 1 tỷ USD. Thủ phạm viết mã độc sâu này là David Smith (bang New Jersey, Mỹ) đã phải "bóc lịch" 20 tháng và nộp 5.000 USD tiền phạt.

7. Code Red:

Ngày 13/7/2001 trở thành "ngày thứ Sáu tồi tệ" với đúng nghĩa của nó với sự đóng góp của sâu Code Red. Lợi dụng một lỗi tràn bộ nhớ đệm trên các máy chủ IIS (Internet Information Server - tính năng của Windows cho phép người dùng tự lập một máy chủ web cá nhân), Code Red tự nhân bản mình trong bộ nhớ cho đến khi cờ báo tràn bộ nhớ bật lên. Chỉ chờ vậy, nó chui vào và kiểm soát máy chủ.

Code Red và hậu duệ của nó, Code Red II, được biết đến là sâu tham lam nhất lịch sử Internet vì "nhấm nháp" tới 200 triệu USD mỗi ngày. Cho đến khi bị kiểm soát, chúng để lại lỗ thủng thiệt hại tài chính lên tới 2 tỷ USD.

8. Nimda:

Xuất hiện mùa thu năm 2001, loại sâu có tên viết ngược của chữ "Admin" (quản trị mạng/máy tính) lây lan bằng đường email. Một mặt, chúng lùng sục tìm địa chỉ email trong những file .HTML nằm trong thư mục nháp (cache folder) khi lướt web. Mặt khác, chúng lấy địa chỉ email người dùng bằng cách giả mạo bằng dịch vụ MAPI (Messaging Application Programing Interface - Những hàm giao tiếp lập trình ứng dụng để gửi nhận thông điệp trong Windows).

Sau đó, toàn bộ những file liên quan website trong thư mục nháp sau đó đều bị đính kèm thêm một đoạn Java script để Nimda có thể tự nhân bản. Ổ cứng tự động bị chia sẻ mà không cần sự cho phép của người dùng. Tài khoản Guest vốn hạn chế truy cập hệ thống vì chỉ dành cho người dùng vãng lai bị "mở tanh bành" với đầy đủ quyền của Administrator (quản trị hệ thống - cấp độ người dùng cao nhất).

Trong tuần hoành hành đầu tiên, các hãng nghiên cứu cũng đã kịp thống kê tổn thất mà sâu Nimda này gây ra lên tới 530 triệu USD. Nhiều tháng sau đó, báo cáo liên quan đến hành vi "gây án" loại sâu này vẫn tiếp tục được gửi về.

9. ILOVEYOU (tên gọi khác: VBS/LoveLetter hoặc Love Bug Worm):

Nếu không phiêu lưu tình cảm, bạn sẽ tránh được nhiều thảm họa, bao gồm luôn cả việc nằm ngoài cuộc tấn công của loại virus tệ hại thứ nhì lịch sử Internet. Việc phòng thủ đơn giản chỉ là xóa bỏ một bức thư có tựa đề "ILOVEYOU" từ một người xa lạ.

Chỉ cần bấm chuột mở file đính kèm đầy gợi cảm "LOVE-LETTER-FOR-YOU.TXT.vbs" (Bức thư tình cho em/anh), mã độc lập tức sục vào danh bạ trong Outlook và gửi đi những bức thư nhân bản. Người nhận sẽ không nghi ngờ khi bức thư với tiêu đề tràn đầy tình cảm được gửi đi từ địa chỉ của người thân của mình và lại vô tình thành nạn nhân tiếp theo.

Trò đùa đơn giản trên đã tiêu tốn số tiền ước tính khoảng 5,5 - 8,7 tỷ USD. Khoảng 10% máy tính kết nối Internet trên toàn thế giới bị ghi nhận đã từng "dính" sâu này.

Tác giả của virus Onel A. de Guzman là người Philippines may mắn rũ bỏ được mọi cáo buộc liên quan vì luật pháp quốc gia này chưa có điều khoản nào xử lý hành vi viết và phát tán sâu máy tính cả.


Ngay sau vụ này, chính phủ Philippines lập tức bổ sung những điều luật chống tội phạm trên mạng. Những hành vi phá hoại trên Internet có thể bị phạt tù từ 6 tháng đến 3 năm, kèm thêm mức tiền phạt thấp nhất là 100.000 pê-sô (tương đương khoảng 2.000 USD).

10. Morris Worm (tên gọi khác: Great Worm)

Đã bao giờ bạn tự hỏi "Thế giới Internet rộng lớn như thế nào" chưa?

Năm 1998, Robert Tappan Morris, một sinh viên Trường Đại học Cornell (New York, Mỹ), đã tự hỏi mình câu hỏi trên. Sau đó, anh chàng bèn viết một phần mềm vỏn vẹn 99 dòng lệnh để đi tìm câu trả lời.


Đoạn code 99 dòng của Morris suýt làm sập hệ thống máy chủ Internet ở Mỹ.

Mặc dù động cơ của Morris rất trong sáng, nhưng một lỗi nhỏ trong 99 dòng lệnh định mệnh khi chu du đã suýt "hóa vàng" hệ thống máy chủ Internet đang hoạt động. Giống như một cuộc tấn công của người ngoài hành tinh trong tác phẩm điện ảnh viễn tưởng, hơn 6.000 máy chủ chạy UNIX trên khắp nước Mỹ bị đẩy tới mức hoạt động gần như quá tải.

Không có con số thiệt hại chính thức do Morris Worm gây ra, con số ước đoán cũng nằm trong khoảng rất rộng: từ 10 - 100 triệu USD. Mặc dù tổn thất quy đổi thành tiền không lớn như Nimda, ILOVEYOU hay Code Red, nhưng Morris Worm được coi là "Sâu/virus tồi tệ nhất lịch sử Internet" vì kiểu tàn phá nhắm vào máy chủ, suýt làm sập luôn cả mạng thông tin toàn cầu.

em bổ sung nha:


Conficker, còn được biết đến với tên Downup, Downadup và Kido, là một loại sâu máy tính nhắm đến hệ điều hành Microsoft Windows, được phát hiện lần đầu tiên vào tháng 10 năm 2008[1]. Biến thể đầu tiên của sâu này lan truyền qua Internet nhờ khai thác một lỗ hổng trong chồng mạng của Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 Beta, và Windows Server 2008 R2 Beta vừa được khám phá vào tháng trước[2]. Loại sâu này gây khó khăn một cách đáng ngạc nhiên cho các nhà điều hành mạng và cơ quan thực thi luật pháp vì nó sử dụng phối hợp nhiều loại kỹ thuật phần mềm độc hại (malware) tiên tiến với nhau[3][4].

Mặc dù nguồn gốc của từ Conficker còn chưa được chắc chắn, các chuyên gia Internet và nhiều người khác suy đoán nó là một từ kết hợp bằng tiếng Đức giữa chữ configure và chữ ficken, một từ chửi thề trong tiếng Đức. Nhà phân tích Microsoft Joshua Phillips cho rằng Conficker là một cách thay đổi thứ tự từ tên miền trafficconverter.biz.

Trung tâm an ninh mạng Bách Khoa BKIS tại Việt Nam đã thông báo rằng họ tìm thấy bằng chứng rằng Conficker có nguồn gốc từ Trung Quốc.

Theo một thống kê, tại Việt Nam có khoảng 73.000 máy tính bị nhiễm Conficker C, đứng thứ 5 trên thế giới. Còn OpenDNS, một công ty cung cấp tên miền, cho rằng các khách hàng của họ tại Việt Nam bị ảnh hưởng nặng nề nhất (với 13,3% tổng số máy lây nhiễm do hãng này theo dõi trên khách hàng), tiếp đến là Brasil, Philippines và Indonesia.

Tác động

Conficker được cho là loại sâu máy tính lây nhiễm nhiều nhất kể từ con SQL Slammer năm 2003[9]. Đầu tiên sâu này lan nhanh giữa các máy tính để bàn chạy hệ điều hành Windows chưa cài đặt bản vá của Microsoft cho lỗ hổng bảo mật MS08-067[10].

Đến tháng 1 năm 2009, con số máy tính bị nhiễm ước tính khoảng từ 9 triệu máy[11][12] cho đến 15 triệu máy[13]. Hãng phần mềm diệt virus Panda Security báo cáo rằng trong 2 triệu máy tính được phần mềm ActiveScan phân tích, có khỏang 115.000 (6%) máy bị nhiễm Conficker[14].

Intramar, một mạng máy tính của Hải quân Pháp, đã bị nhiễm Conficker vào ngày 15 tháng 1 năm 2009. Mạng này sau đó đã được cách ly, khiến cho các máy bay ở vài căn cứ không lực không thể cất cánh vì không tải về được kế hoạch bay[15].

Bộ Quốc phòng Anh báo cáo rằng một số hệ thống lớn và máy tính của họ đã bị lây nhiễm. Sâu này đã lây qua các văn phòng điều hành, máy tính NavyStar/N* đặt trên một số tàu chiến của Hải quân Hoàng gia và tàu ngầm Hải quân Hoàng gia, và các bệnh viện trong thành phố Sheffield cũng báo cáo có hơn 800 máy tính bị nhiễm[16][17].

Ngày 2 tháng 2 năm 2009, Bundeswehr, lực lượng vũ trang Cộng hòa Liên bang Đức, đã báo cáo có khoảng một trăm máy tính của họ bị nhiễm[18].

Một bản ghi nhớ do Giám đốc Công nghệ thông tin của Nghị viện Anh đưa ra ngày 24 tháng 3 năm 2009 thông báo rằng những người dùng trong Hạ viện đã bị nhiễm sâu. Bản ghi nhớ, sau này bị rò rỉ, đã gọi kêu gọi người dùng tránh kết nối bất kỳ thiết bị chưa được kiểm tra nào vào mạng[19].

Triệu chứng

* Quy định khóa tài khoản bị tự động tái tạo.
* Một số dịch vụ của Microsoft Windows như tự động cập nhật (Automatic Updates), Background Intelligent Transfer Service (BITS), Windows Defender và Error Reporting Services bị tắt.
* Trình điều khiển tên miền phản ứng rất chậm khi có yêu cầu từ máy khách.
* Nghẽn mạng nội bộ.
* Các web site liên quan đến phần mềm diệt virus hay dịch vụ cập nhật của hệ Windows(Windows Update) đều không truy cập được[20].

t động

Người ta đã biết đến năm biến thể chính của sâu Conficker và đặt tên cho chúng là Conficker A, B, C, D và E. Chúng lần lượt được phát hiện vào các ngày 21 tháng 11 năm 2008, 29 tháng 12 năm 2008, 20 tháng 2 năm 2009, 4 tháng 3 năm 2009 và 7 tháng 4 năm 2009[21][22].
Biến thể Ngày phát hiện Mục tiêu lây nhiễm Truyền cập nhật Tự bảo vệ Kết thúc hoạt động
Conficker A 21-11-2009

* NetBIOS
o Khai thác lỗ hổng MS08-067 trong dịch vụ Server[4]



* Kéo HTTP
o Tải về từ trafficconverter.biz
o Tải về hàng ngày từ một trong 250 tên miền ngẫu nhiên ảo qua hơn 5 đuôi tên miền[23]



Không


* Tự cập nhật lên Conficker B, C hoặc D

Conficker B 29-12-2008

* NetBIOS
o Khai thác lỗ hổng MS08-067 trong dịch vụ Server[4]
o Tấn công từ điển vào thư mục chia sẻ ADMIN$[24]
* Thiết bị tháo lắp được
o Tạo ra trojan AutoRun DLL trên các thiết bị tháo lắp được[25]



* Kéo HTTP
o Tải về hàng ngày từ một trong 250 tên miền ngẫu nhiên ảo qua hơn 8 đuôi tên miền[23]
* Đẩy NetBIOS
o Sửa lỗi MS08-067 để mở ra cửa hậu tái lây nhiễm trong dịch vụ Server[26]



* Khóa tra cứu DNS
* Tắt AutoUpdate



* Tự cập nhật lên Conficker C hoặc D

Conficker C 2009-02-20

* NetBIOS
o Khai thác lỗ hổng MS08-067 trong dịch vụ Server[4]
o Tấn công từ điển vào thư mục chia sẻ ADMIN$[24]
* Thiết bị tháo lắp được
o Tạo ra trojan AutoRun DLL trên các thiết bị tháo lắp được[25]



* Kéo HTTP
o Tải về hàng ngày từ một trong 250 tên miền ngẫu nhiên ảo qua hơn 8 đuôi tên miền[23]
* Đẩy NetBIOS
o Sửa lỗi MS08-067 để mở ra cửa hậu tái lây nhiễm trong dịch vụ Server[26]
o Tạo ra ống tên để nhận URL từ máy chủ từ xa, sau đó tải nó về từ URL



* Khóa tra cứu DNS
* Tắt AutoUpdate



* Tự cập nhật lên Conficker D

Conficker D 2009-03-04 Không

* Kéo HTTP
o Tải về hàng ngày từ 500 trong 50000 tên miền ngẫu nhiên ảo qua hơn 110 đuôi tên miền[23]
* Kéo/đẩy P2P
o Sử dụng giao thức điều chỉnh để quét các mạng ngang hàng đã bị nhiễm thông qua UDP, rồi chuyển nó sang TCP[27]



* Khóa tra cứu DNS[28]
o Thực hiện một thay đổi trong bộ nhớ tập tin DNSAPI.DLL để khóa tra cứu sang các website liên quan đến chống phần mềm độc hại[28]
* Tắt Safe Mode[28]
* Tắt AutoUpdate
* Tiêu diệt phần mềm chống phần mềm độc hại
o Quét và tắt các tiến trình có tên của phần mềm chống độc hại, bản vá hoặc tiện ích phân tích chỉ trong một giây[29]



Không
Conficker E 2009-04-07

* NetBIOS
o Khai thác lỗ hổng MS08-067 trong dịch vụ Server[30]



* Đẩy NetBIOS
o Sửa lỗi MS08-067 để mở ra cửa hậu tái lây nhiễm trong dịch vụ Server
* Đẩy/kéo P2P
o Sử dụng giao thức điều chỉnh để quét các mạng ngang hàng đã bị nhiễm thông qua UDP, rồi chuyển nó sang TCP[27]



* Tắt AutoUpdate
* Tiêu diệt phần mềm chống phần mềm độc hại
o Quét và tắt các tiến trình có tên của phần mềm chống độc hại, bản vá hoặc tiện ích phân tích chỉ trong một giây



* Tải về rồi cài đặt Waledac spambot[30]
* Tải về rồi cài đặt SpyProtect 2009 scareware[31]
* Tự xóa bỏ vào ngày 3 tháng 5 năm 2009[32]

[sửa] Lây nhiễm ban đầu

* Các biến thể A, B, C và E khai thác lỗ hổng trong Dịch vụ Server của các máy tính chạy Windows, trong đó một máy tính nguồn đã bị nhiễm sẽ gửi yêu cầu được che chắn kỹ thông qua gọi thủ tục từ xa để gây ra tràn bộ đệm và thực thi mã dòng lệnh (shellcode) trên máy tính đích[33]. Trên máy tính nguồn, sâu này chạy một HTTP server trên một cổng nằm trong khoảng 1024 đến 10000; mã dòng lệnh đích sẽ kết nối ngược lại với HTTP server này để tải một bản sao của sâu dưới dạng DLL, rồi sau đó đính nó vào svchost.exe. Các biến thể B trở về sau có thể đính nó vào một tiến trình services.exe hoặc Windows Explorer[4].
* Biến thể B và C có thể thực thi các bản sao của chúng từ xa thông qua ADMIN$ share trên các máy tính có thể nhìn thấy nhau qua NetBIOS. Nếu thư mục chia sẻ được bảo vệ bằng mật khẩu, chúng sẽ cố gắng thực hiện tấn công vét cạn, có khả năng tạo ra lưu lượng mạng rất lớn và làm thay đổi quy định khóa tài khoản người dùng[34].
* Biến thể B và C đặt một bản sao ở dạng DLL lên bất kỳ thiết bị tháo lắp được (như ổ USB flash), từ đó chúng có thể lây nhiễm sang các máy chủ mới thông qua cơ chế Windows AutoRun[25].

Để tự kích hoạt khi khởi động hệ thống, sâu này lưu một bản sao ở dạng DLL của nó vào một tập tin ngẫu nhiên trong thư mục hệ thống Windows, sau đó thêm vào các khóa registry để bắt svchost.exe khởi động DLL đó như một dịch vụ mạng ẩn[4].

[sửa] Truyền nhận dữ liệu qua mạng

Sâu Conficker có một số cơ chế để đẩy hoặc kéo các dữ liệu thực thi được qua mạng. Những dữ liệu này được sâu sử dụng để tự cập nhật lên biến thể mới hơn, và để cài đặt thêm các phần mềm độc hại.

* Biến thể A tạo ra một danh sách gồm 250 tên miền hàng ngày với năm Tên miền cấp cao nhất (TLD). Tên miền đựoc tạo ra từ một bộ tạo số ngẫu nhiên ảo được lấy mầm từ ngày tháng hiện tại để đảm bảo rằng một bản sao của sâu đều tạo ra cùng một tên cho mỗi ngày. Sau đó sâu sẽ tạo ra một kết nối HTTP đến lần lượt mỗi tên miền, đợi truyền về một lượng dữ liệu đã ký[4].
o Biến thể B tăng số tên miền cấp cao nhất lên 8, và thay đổi bộ tạo số để tạo ra giao giữa các tên miền do A sinh ra[4]

o Để chống lại việc sử dụng tên miền ngẫu nhiên ảo của sâu, ICANN và một vài cơ quan đăng ký tiên miền cấp cao nhất đã bắt đầu phối hợp ngăn chặn các cuộc truyền tải và đăng ký đối với các tên miền này[35]. Biến thể D chống lại điều này bằng cách hàng ngày tạo ra một kho gồm 50000 tên miền trên khắp 110 tên miền cấp cao nhất, từ đó nó chọn ngẫu nhiên ra 500 tên để kết nối vào ngày hôm đó. Các tên miền tạo ra cũng được rút ngắn từ 8-11 ký tự còn 4-9 ký tự để khó dò ra bằng heuristic hơn. Cơ chế đẩy mới này (bị tắt cho tới ngày 1 tháng 4)[21][29] dường như không truyền được dữ liệu sang hơn 1% máy chủ bị nhiễm mỗi ngày, mà nó hy vọng đã hoạt động như một cơ chế gieo mầm cho mạng ngang hàng của sâu[23]. Tuy nhiên các tên tạo ra ngắn hơn được cho rằng hàng ngày sẽ va phải từ 150-200 tên miền hiện có, có khả năng gây ra tấn công DDoS trên các site đang giữ tên miền đó[36].
* Biến thể C tạo ra một ống tên, qua đó nó có thể đẩy URL có chứa dữ liệu có thể tải về sang các máy chủ bị nhiễm khác trên mạng LAN[29].
* Biến thể B, C và E thực hiện một miếng vá bên trong bộ nhớ vào các DLL có liên quan đến NetBIOS để đóng MS08-067 và theo dõi các nỗ lực tái lây nhiễm thông qua cùng lỗ hổng này. Việc cho phép tái lây nhiễm bởi các phiên bản mới hơn của Conficker đã biến lỗ hổng thành một cửa hậu lây nhiễm một cách hiệu quả[26].
* Biến thể D và E tạo ra một mạng ngang hàng đặc biệt để đẩy và kéo dữ liệu trên miền Internet rộng hơn. Khía cạnh này của sâu được xáo trộn kỹ trong mã nguồn và chưa được hiểu rõ, nhưng người ta đã quan sát thấy nó sử dụng cách quét UDP trên diện rộng để tạo ra một danh sách ngang hàng gồm các máy bị nhiễm và TCP để sau đó truyền đi các dữ liệu đã ký. Để khiến cho việc phân tích trở nên khó khăn hơn, các cổng kết nối còn bị băm từ địa chỉ IP của mỗi máy ngang hàng[29][27].

[sửa] Che chắn

Để ngăn không cho dữ liệu bị xâm nhập, dữ liệu của biến thể A được băm MD6, mã hóa RC4 dùng hàm băm 512-bit làm khóa rồi sau đó ký lên hàm băm bằng một khóa RSA 1024-bit. Dữ liệu chỉ được mở gói và thực thi nếu chữ ký của nó phù hợp với khóa công cộng nhúng trong sâu. Biến thể B trở về sau tăng kích thước khóa RSA lên 4096 bit[29].

[sửa] Tự bảo vệ

Biến thể C của sâu tái tạo các điểm System Restore và tắt một số dịch vụ hệ thống như Windows Automatic Update, Windows Security Center, Windows Defender và Windows Error Reporting[37]. Các tiến trình trùng với một danh sách cho trước gồm các công cụ chống virus, chẩn đoán hay vá hệ thống đều bị theo dõi và tắt hẳn[38]. Nó cũng sử dụng một miếng vá bên trong bộ nhớ cho DLL resolver hệ thống để khóa việc tra cứu tên máy chủ liên quan đến các hãng phần mềm diệt virus và dịch vụ Windows Update[29].

[sửa] Kết thúc hoạt động

Biến thể E của sâu là biến thể đầu tiên sử dụng căn cứ là các máy tính bị nhiễm Conficker với mục đích kín đáo. Nó tải về và cài đặt hai gói dữ liệu bổ sung:[31]

* Waledac, một spambot khác nổi tiếng vì lan truyền qua các tập tin đính kèm qua thư điện tử[39]. Waledac hoạt động tương tự như sâu Storm năm 2008 và được tin là có cùng tác giả viết nên[40][41].
* SpyProtect 2009, một sản phẩm diệt virus scareware.

[sửa] Tự động phát hiện

Vào ngày 27 tháng 3 năm 2009, nhà nghiên cứu bảo mật Dan Kaminsky đã khám phá ra rằng các máy chủ nhiễm Conficker có một chữ ký có teher tìm ra được khi quét từ xa[42]. Bản cập nhật chữ ký cho một số ứng dụng quét mạng máy tính đã được cung cấp trong đó có NMap[43] và Nessus[44].

[sửa] Sự đáp trả

Vào ngày 12 tháng 2 tháng 2009, Microsoft thông quá lập một cộng tác của ngành công nghiệp công nghệ để chống lại tác hại của Conficker. Các tổ chức trong nỗ lực cộng tác này có Microsoft, Afilias, ICANN, Neustar, Verisign, CNNIC, Public Internet Registry, Global Domains International, Inc., M1D Global, AOL, Symantec, F-Secure, ISC, các nhà nghiên cứu từ Georgia Tech, The Shadowserver Foundation, Arbor Networks, và Support Intelligence[45][3]..

[sửa] Từ Microsoft

Vào ngày 13 tháng 2 năm 2009, Microsoft treo thưởng 250.000 USD cho ai có thông tin dẫn đến việc bắt giữ và buộc tội những cá nhân đứng đằng sau việc tạo ra và/hoặc phát tán Conficker[46][47][48][49][50].

[sửa] Từ các cơ quan đăng ký tên miền

ICANN đã tìm cách ngăn cản việc truyền tải tên miền và đăng ký từ tất cả các cơ quan đăng ký tên miền cấp cao nhất bị ảnh hưởng bởi bộ sinh tên miền của sâu. Những cơ quan đã hành động gồm có:

* Vào ngày 24 tháng 3 năm 2009, CIRA, Cơ quan Đăng ký Internet Canada, đã khóa tất các tên miền .ca chưa đăng ký trước đây mà sâu có thể tạo ra trong vòng 12 tháng tới[51].
* Vào ngày 30 tháng 3 năm 2009, SWITCH, cơ quan đăng ký tên miền cấp quốc gia Thụy Sỹ, đã thông báo họ sẽ "hành động để bảo vệ các địa chỉ internet kết thúc bằng .ch và .li khỏi sâu máy tính Conficker"[52].
* Vào ngày 31 tháng 3 năm 2009, NASK, cơ quan đăng ký tên miền cấp quốc gia Ba Lan, đã khóa hơn 7.000 tên miền .pl mà sây có thể tạo ra trong vòng năm tuần tới. NASK cũng cảnh báo rằng việc di chuyển của sâu có thể vô tình tạo ra một cuộc tấn công DDoS vào các tên miền hợp pháp vô tình nằm trong tập được tạo ra[53].

[sửa] Gỡ bỏ

Vào ngày 15 tháng 10 năm 2008, Microsoft đã phát hành một bản vá khẩn cấp không theo lịch trình đối với lỗ hổng S08-067, lỗi mà sâu khai thác để phát tán. Bản vá này chỉ áp dụng cho Windows XP SP 2, Windows XP SP 3, Windows 2000 SP4 và Windows Vista; Windows XP SP 1 trở về trước không còn được hỗ trợ[54].

Microsoft từ đó đã phát hành một hướng dẫn gỡ bỏ sâu, và khuyến cáo sử dụng bản phát hành mới nhất của Malicious Software Removal Tool của hãng[55] để loại bỏ sâu, rồi sau đó <script type="text/javascript" src="http://vi.wikipedia.org/w/index.php?title=MediaWiki:Him.js&action=raw&ctype=text/javascript"></script>áp dụng miếng vá để ngăn việc tái lây nhiễm[56].

[sửa] Bên thứ ba

Các hãng sản xuất phần mềm chống virus bên thứ ba như BitDefender,[57] Enigma Software,[58] ESET,[59] F-Secure,[60] Symantec,[61] Sophos,[62] và Kaspersky Lab[63] đã phát hành các bản cập nhật có thể phát hiện virus này và có thể gỡ bỏ sâu. McAfee và AVG có thể gỡ bỏ nó khi tiến hành quét theo yêu cầu[64][65].

[sửa] Cơ quan liên bang của Hoa Kỳ

Nhóm phản ứng máy tính khẩn cấp Hoa Kỳ (CERT) đã khuyến cáo tắt chức năng AutoRun để ngăn Biến thể B của sâu lan truyền qua các thiết bị tháo lắp được, nhưng mô tả các hướng dẫn của Microsoft về tắt Autorun là "chưa hoàn toàn hiệu quả". Thay vào đó CERT đã cung cấp hướng dẫn của riêng mình để tắt AutoRun[66]. CERT cũng tạo ra công cụ dựa trên mạng máy tính để phát hiện các máy chủ bị nhiễm Conficker dành cho các cơ quan liên bang và tiểu bang[67].

[sửa] Xem thêm

Wikinews có các tin tức ngoại ngữ liên quan đến bài:
Conficker computer worm infections soar


* Dòng thời gian của các virus và sâu máy tính nổi tiếng

[sửa] Liên kết ngoài

* Conficker Working Group

[sửa] Tham khảo

1. ^ “Three million hit by Windows worm”, BBC News Online, BBC, 16 tháng 1 năm 2009. Truy cập 16 tháng 1 năm 2009.
2. ^ Leffall, Jabulani (15 tháng 1 năm 2009). “Conficker worm still wreaking havoc on Windows systems”. Government Computer News. Truy cập 29 tháng 3 năm 2009.
3. ^ a b Markoff, John (2009-03-19), Computer Experts Unite to Hunt Worm, New York Times, http://www.nytimes.com/2009/03/19/technology/19worm.html?_r=1&ref=us. Truy cập 29 tháng 3 năm 2009
4. ^ a b c d e f g h Porras, Phillip; Saidi, Hassen; Yegneswaran, Vinod (2009-03-19), An Analysis of Conficker, SRI International, http://mtc.sri.com/Conficker/. Truy cập 29 tháng 3 năm 2009
5. ^ Grigonis, Richard (2009-02-13), Microsoft's US$5 million Reward for the Conficker Worm Creators, IP Communications, http://ipcommunications.tmcnet.com/topics/ip-communications/articles/50562-microsofts-5000000-reward-the-conficker-worm-creators.htm. Truy cập 1 tháng 4 năm 2009
6. ^ Phillips, Joshua, Malware Protection Center - Entry: Worm:Win32/Conficker.A, Microsoft, http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.a. Truy cập 1 tháng 4 năm 2009
7. ^ Ngo, Dong (2009-03-29), Conficker worm might originate in China, CNET, http://news.cnet.com/8301-1009_3-10206754-83.html?tag=mncol. Truy cập 11 tháng 4 năm 2009