Conficker Awakens, Bắt đầu Scamming

Sâu Conficker đã hoạt động trở lại các chuyên gia an ninh stumping một lần nữa. Một trong những phần mềm độc hại được thiết kế thủ công nhất gần đây đã có bản cập nhật và cuối cùng cũng bắt đầu hoạt động giống như các sâu khác. Dưới đây là những gì đang diễn ra:

New Marching Orders

Vào thứ tư, 8 công ty bảo mật bắt đầu thấy một số biến thể của Conficker C, hương vị mới nhất của Conficker, nhận cập nhật thông qua chia sẻ tệp tin ngang hàng (P2P) chức năng. Hãng bảo mật Trend Micro báo cáo rằng các hướng dẫn Conficker mới đến từ một máy chủ ở Hàn Quốc và tập tin mới được tạo ra vào ngày 7 tháng 4 năm 2009 lúc 07:41:21. Bản cập nhật mới đã tăng cường khả năng phòng thủ của Conficker và các chức năng Conficker mới sẽ ngừng hoạt động vào ngày 3 tháng 5 năm 2009.

Cho đến ngày 3 tháng 5, Conficker đã làm mới sẽ tìm kiếm trên Internet các máy Windows không bị nhiễm độc mà không áp dụng bản vá bảo mật Microsoft MS08-67. Chức năng tìm kiếm và lây nhiễm này đã được tắt trong các giống Conficker trước đó, có lẽ là để kiểm soát kích thước của một botnet tương lai. Tuy nhiên, có vẻ như các tác giả của Conficker đã suy nghĩ lại rằng chiến lược và đang tìm cách phát triển sáng tạo của họ một lần nữa. Một số biến thể Conficker cũng được lập trình để lây nhiễm vào một máy tính chưa được vá, và sau đó một khi Conficker nằm trong máy, worm sẽ vá lỗi yếu để loại bỏ các loại phần mềm độc hại khác có khả năng bị tổn thương tương tự.

[Đọc thêm: Cách xóa phần mềm độc hại từ máy tính Windows của bạn]

Khi Conficker lây nhiễm vào máy tính mới hoặc làm mới máy, nó cố gắng kết nối với MySpace.com, MSN.com, Ebay.com, CNN.com và AOL.com để xác minh máy tính là kết nối với Internet.

Lừa đảo đầu tiên của Conficker đã tiết lộ

Conficker mới cũng bắt đầu có dấu hiệu của phần mềm độc hại truyền thống. Sử dụng một trong những thủ đoạn lâu đời nhất trong cuốn sách, được gọi là scareware, Conficker C mới tải xuống một chương trình chống virus giả mạo được gọi là Spyware Protect 2009 (ảnh). F-Secure cho biết nó được gọi là Spyware Guard 2008. Chương trình giả mạo sau đó cung cấp một thông báo pop-up cho bạn biết rằng máy tính của bạn bị nhiễm, nhưng chỉ có $ 49,95 chương trình chống virus giả mạo có thể loại bỏ phần mềm độc hại. Sau đó bạn được hướng đến một trang web không có thật, nơi bạn vô tình nhập tất cả thông tin thẻ tín dụng của bạn và sau đó bọn tội phạm đang cười tất cả các cách để ngân hàng - đó là ngân hàng của bạn. Các scam scareware dường như đến từ một máy chủ ở Ukraine, theo Washington Post.

Conficker: Spambot trong ngụy trang?

Conficker, là một phần nhỏ của lập trình, dường như được kết nối theo một cách nào đó sâu Waledac - và bản thân Waledac được coi là bản cập nhật của Storm Worm. Không có sự đồng thuận về những gì Conficker thực sự đang làm, nhưng theo công ty bảo mật F-Secure, Conficker sẽ liên kết với Waledac và thực sự tải sâu Waledac. Trend Micro, trong khi đó, cho biết Conficker đang tải xuống một số mã từ miền Waledac, nhưng công ty bảo mật muốn làm nghiên cứu sâu hơn trước khi xác nhận kết nối Conficker-Waledac. Tuy nhiên, Trend Micro gợi ý rằng Conficker có thể sẵn sàng làm việc như một botnet gửi thư rác quy mô lớn, một hàm được biết đến của sâu Waledac.

Conficker: Hơn là gặp mắt

Dường như Conficker mới có nhiều thủ thuật hơn tay áo của nó mà các nhà nghiên cứu vẫn chưa phát hiện ra. Trong khi các nhóm bảo mật cố gắng khám phá tất cả các thủ thuật và chỉnh sửa mới nhất của Conficker, họ biết rằng Conficker đã tỉnh táo và các tác giả của sâu đang bắt đầu sử dụng các máy bị nhiễm Conficker để kiếm tiền.

Khi chúng ta đi từ đâu?

Khi các nhà nghiên cứu bảo mật bắt đầu làm sáng tỏ những bí ẩn xung quanh phiên bản mới nhất của Conficker, bạn có thể tự bảo vệ mình khỏi sâu bằng cách thử nghiệm đầu tiên hệ thống của bạn để lây nhiễm và sau đó bằng cách đảm bảo bạn có các bản vá lỗi bảo mật mới nhất của Microsoft và chương trình chống vi-rút của bạn được cập nhật. Nhóm làm việc Conficker có một thử nghiệm đơn giản để xem bạn có bị nhiễm Conficker hay không.