Conficker, mối đe dọa số 1 của Internet, được cập nhật

Conficker, lợi dụng một lỗ hổng trong phần mềm của Microsoft, đã lây nhiễm ít nhất 3 triệu PC và có thể lên đến 12 triệu, biến nó thành một botnet khổng lồ và một trong những vấn đề bảo mật máy tính nghiêm trọng nhất trong những năm gần đây. và tấn công các trang web khác, nhưng họ cần để có thể nhận được hướng dẫn mới. Conficker có thể thực hiện theo hai cách: nó có thể thử truy cập vào một trang web và nhận các chỉ dẫn hoặc nó có thể nhận một tập tin qua mạng P-to-P được mã hóa tùy chỉnh của nó.

[Đọc thêm: Làm thế nào để loại bỏ phần mềm độc hại khỏi PC Windows của bạn]

Trong những ngày gần đây, các nhà nghiên cứu với Websense và Trend Micro cho biết một số máy tính bị nhiễm Conficker đã nhận được một tệp nhị phân trên P-to-P. Rik Ferguson, cố vấn bảo mật cao cấp cho nhà cung cấp Trend Micro, cho biết, các bộ điều khiển của Conficker đã bị cản trở bởi những nỗ lực của cộng đồng an ninh để nhận được hướng dẫn thông qua một trang web, do đó họ đang sử dụng chức năng P-to-P. binary nói với Conficker để bắt đầu quét các máy tính khác chưa vá lỗ hổng của Microsoft, Ferguson nói. Một bản cập nhật trước đó đã tắt chức năng này, điều này ám chỉ rằng các bộ điều khiển của Conficker có thể nghĩ rằng botnet đã phát triển quá lớn.

Nhưng bây giờ, "nó chắc chắn cho thấy họ [tác giả của Conficker] đang tìm cách kiểm soát nhiều máy móc hơn", Ferguson nói. Bản cập nhật mới cũng cho biết Conficker sẽ liên lạc với MySpace.com, MSN.com, Ebay.com, CNN.com và AOL.com để xác nhận rằng máy tính bị lây nhiễm được kết nối với Internet, Ferguson nói. Nó cũng chặn các máy tính bị nhiễm từ truy cập một số trang web. Các phiên bản Conficker trước đây sẽ không cho phép mọi người duyệt đến các trang web của các công ty bảo mật.

Theo một cách khác, nhị phân dường như được lập trình để ngừng chạy vào ngày 3 tháng 5, sẽ tắt các chức năng mới. > Đây không phải là lần đầu tiên Conficker được mã hóa với các hướng dẫn dựa trên thời gian. Các chuyên gia bảo mật máy tính đang giằng co thảm họa vào ngày 1 tháng 4, khi Conficker được lên kế hoạch thử ghé thăm 500 trong số 50.000 trang web ngẫu nhiên được tạo ra bởi một thuật toán nội bộ để có được hướng dẫn mới, nhưng ngày đó đã trôi qua mà không có sự cố. là bản cập nhật mới cho Conficker liên hệ với một miền được biết là có liên kết với một botnet khác có tên Waledec, Ferguson nói. Các botnet Waledec phát triển trong một thời trang tương tự như sâu Storm, một botnet lớn mà bây giờ đã phai mờ nhưng đã được sử dụng để gửi thư rác. Nó có nghĩa là có lẽ cùng một nhóm có thể được liên kết với cả ba botnet, Ferguson nói.

Mặc dù Conficker dường như chưa được sử dụng cho mục đích độc hại, nó vẫn là một mối đe dọa, Carl Leonard cho biết. quản lý cho Websense ở châu Âu. Chức năng P-to-P cho thấy mức độ tinh tế, ông nói.

"Rõ ràng là họ đã nỗ lực nhiều trong việc thu thập bộ máy này," Leonard nói. "Họ muốn bảo vệ môi trường của họ và khởi chạy các bản cập nhật này theo cách tốt nhất có thể tận dụng chúng."

Không phải tất cả các máy tính bị nhiễm Conficker sẽ nhất thiết phải được cập nhật nhanh chóng. Để sử dụng chức năng cập nhật P-to-P, một máy tính bị nhiễm Conficker phải tìm kiếm các máy tính bị lây nhiễm khác, một tiến trình không phải là ngay lập tức, Ferguson. Conficker, thật khó để nói phần trăm có bản cập nhật mới.

Trend Micro và Websense đều cảnh báo những phát hiện của họ là sơ bộ, vì bản cập nhật nhị phân vẫn đang được phân tích.

Mặc dù Microsoft đã phát hành bản vá phần mềm khẩn cấp vào tháng 10 năm ngoái, Conficker đã tiếp tục tận dụng lợi thế của những máy tính chưa được vá. Trong thực tế, một số biến thể của Conficker sẽ thực sự vá lỗ hổng sau khi máy bị nhiễm để không có phần mềm độc hại nào khác có thể tận dụng nó.