Conficker Group nói Worm 4,6 triệu mạnh

chuyên gia bảo mật cho rằng sâu Conficker đã bị nhiễm một số lượng lớn máy tính, làm cho nó trở thành "botnet" lớn nhất của các máy tính bị tấn công trên hành tinh. Tuy nhiên, điều họ dường như không đồng ý là chính xác có bao nhiêu người bị tấn công.

Nhóm các nhà nghiên cứu đã theo dõi sát sao và chiến đấu - sâu đã đưa ra ước tính riêng của mình về Kích thước của Conficker. Theo dữ liệu được biên soạn bởi Conficker Working Group, Conficker đã được phát hiện trên dưới 4,6 triệu địa chỉ IP duy nhất. Các biến thể A và B trước đó của nó chiếm tỷ trọng của sư tử đó - 3,4 triệu địa chỉ IP - với biến thể C gần đây hơn phát hiện ở 1,2 triệu địa chỉ.

Các quốc gia đo số lượng lớn nhất các nhiễm trùng cho tất cả các biến thể là Trung Quốc, Brazil và Nga.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows của bạn]

Conficker đã lây nhiễm cho các máy Windows kể từ tháng 10, nhưng trong những tuần gần đây, nó đã nhận được nhiều sự chú ý như một phiên bản mới hơn của sâu, Conficker.C, đã cập nhật cách nó tìm kiếm hướng dẫn, làm cho nó khó khăn hơn nhiều để ngăn chặn.

Trong cuối tuần qua, Conficker đã lây nhiễm gần 800 máy tính tại Trung tâm Khoa học Sức khỏe của Đại học Utah. Nhân viên CNTT ở đó nghĩ rằng nó có thể đã nhận được trên mạng thông qua một ổ đĩa bị nhiễm bệnh. Sau khi cài đặt trên một máy tính, Conficker rất hiệu quả trong việc tìm kiếm các máy Windows chưa được vá khác.

Người dùng tự hỏi liệu họ có bị nhiễm sâu bọ có thể thử nghiệm đơn giản này do SecureWorks phát triển hay không. cách đây vài tuần bởi OpenDNS và nhóm Internet Security Systems của IBM đã gợi ý rằng có tới 4% PC có thể đã bị tấn công bởi con sâu Conficker, nhưng phân tích của Nhóm công tác cho thấy con số này có thể thấp hơn.

việc xuất bản những con số này sẽ đưa một chút thực tế vào phương trình, ”Andre DiMino, đồng sáng lập của Tổ chức Shadowserver và một thành viên của Nhóm công tác cho biết. Anh ta không tin rằng 4% máy tính bị nhiễm. "Thật khó để làm cho một trường hợp cho rằng ngay bây giờ," ông nói.

Nhưng số lượng thực tế của nhiễm trùng có thể cao hơn hoặc thấp hơn 4,6 triệu, DiMino thừa nhận. Vì phương thức của Nhóm làm việc đếm các địa chỉ IP, nên họ có thể có những người tiêu dùng đã đếm quá nhiều người đăng nhập từ nhiều địa chỉ IP hoặc bị nhiễm vi rút doanh nghiệp, thường bị ẩn đằng sau một địa chỉ IP.

OpenDNS, IBM và Nhóm làm việc tất cả sử dụng các kỹ thuật khác nhau để đạt được ước tính của họ, nhưng tất cả đều dựa vào thực tế là các máy bị nhiễm cần kiểm tra với máy chủ "lệnh và kiểm soát" để được hướng dẫn. Nhóm làm việc có dữ liệu của nó bằng cách thiết lập các máy chủ "sinkhole" tại các điểm trên Internet được các máy bị nhiễm sử dụng để tải xuống hướng dẫn. Họ đã thực hiện điều này bằng cách chiếm lĩnh các lĩnh vực Internet mà Conficker được lập trình để truy cập để tìm kiếm các hướng dẫn đó.

Số lượng nhiễm trùng được đo bởi Nhóm làm việc là phù hợp với ước tính của các biến thể trước đó của sâu. "Không phải tất cả các As và Bs đã được biến thành Cs," ông nói.

Để làm phức tạp thêm vấn đề, một biến thể mới của Conficker đã được phát hiện tuần trước, và điều này chủ yếu liên lạc bằng cách sử dụng các kỹ thuật ngang hàng, không dễ dàng được đo bởi các máy chủ lưu trữ của nhóm làm việc. Điều này có nghĩa là nhóm này có lẽ sẽ cần phát triển một cách mới để kiểm soát sự lây nhiễm khi biến thể ngang hàng lan truyền, DiMino nói.

Mặc dù dữ liệu của Nhóm làm việc, nhìn thoáng qua, hoàn toàn khác với kết quả của IBM. không phải là một bất ngờ, theo Holly Stewart, một người quản lý phản ứng mối đe dọa với Hệ thống An ninh Internet của IBM (ISS). Đó là "thực sự khó khăn" để có được một sửa chữa về kích thước của botnet, cô nói. "Tôi không nghĩ ai có câu trả lời hoàn hảo", cô nói. "Họ có một điểm dữ liệu và chúng tôi có một điểm dữ liệu khác."

"Nếu bạn hỏi tôi con số thật là gì," cô nói thêm, "chúng tôi không biết."