CẢNH BÁO VIRUS CONFICKER BÙNG NỔ VÀO NGÀY 01-04-2009

Cảnh báo của VNCERT - Trung tâm ứng cứu máy tính Việt Nam

 

Conflicker là một loại sâu máy tính mới xuất hiện trong vài tháng qua nhưng đã lây lan nhanh chóng vào các máy tính trên toàn thế giới.

Sâu Conflicker xuất hiện những biến thể khác nhau và ngày càng trở nên nguy hiểm. Biến thể mới nhất Conflicker.C đang tiếp tục lây lan, sử dụng những kỹ thuật tinh vi để tự ẩn náu trên hệ thống, tránh bị phát hiện. Theo các chuyên gia phân tích, từ ngày 01/04/2009, sâu Conflicker.C có thể bắt đầu thực hiện những hành vi phá hoại và lây lan trên diện rộng.

Sâu Conflicker ẩn náu trên máy tính của người dùng, vô hiệu hóa các thiết lập bảo mật máy tính, đồng thời ngăn chặn người dùng cập nhật các bản vá lỗi. Ngoài ra sâu Conflicker còn chặn không cho người dùng truy xuất vào website của các nhà sản xuất phần mềm bảo mật và các tổ chức liên quan.

Conficker hay Downadup lợi dụng một lỗi bảo mật dịch vụ Windows Server tích hợp trong hầu hết mọi phiên bản Windows - từ Windows 2000, XP, Vista, Server 2003 đến Server 2008 - để tấn công và lây nhiễm lên PC người dùng lẫn mạng nội bộ mà máy tính đó kết nối đến.

Khi được kích hoạt, Conficker sẽ khóa một số dịch vụ hệ thống như Windows Automatic Update, Windows Security Center, Windows Defender, and Windows Error Reporting. Kế đến, Conficker kết nối đến một máy chủ chứa mã độc để tải các loại mã độc khác cài đặt lên máy tính nạn nhân.

 

CÁCH THỨC LÂY LAN VÀ PHÁ HOẠI CỦA SÂU CONFICKER

Dưới đây là cách thức lây lan của Confick bằng các tấn công  ngẫu nhiên vào một số tên miền để cài mã độc.

Conficker lây nhiễm theo 3 cách

1. Sâu tấn công vào lỗi bảo mật dịch vụ Windows Server. Các máy tính chưa cập nhật bản vá khẩn cấp được phát hành từ Microsoft có thể bị tấn công từ xa.

2. Conficker có thể "tự đoán" hoặc "brute force" (thực hiện cơ chế dò tìm theo ký tự) mật khẩu quản trị được sử dụng bởi các mạng cục bộ và phát tán qua các thư mục được chia sẻ trong mạng.

3. Chức năng tự kích hoạt của Conficker sẽ thực thi khi một thiết bị lưu trữ gắn ngoài đã lây nhiễm Conficker được gắn kết vào máy tính.

 

DANH SÁCH TÊN MIỀN CÓ THỂ BỊ CONFICKER CÀI MÃ ĐỘC

 "ac" , "ae" , "ag" , "am" , "as" , "at" , "be" , "bo" , "bz" , "ca" , "cd" , "ch" , "cl" , "cn" , "co.cr" , "co.id" , "co.il" , "co.ke" , "co.kr" , "co.nz" , "co.ug" , "co.uk" , "co.vi" , "co.za" , "com.ag" , "com.ai" , "com.ar" , "com.bo" , "com.br" , "com.bs" , "com.co" , "com.do" , "com.fj" , "com.gh" , "com.gl" , "com.gt" , "com.hn" , "com.jm" , "com.ki" , "com.lc" , "com.mt" , "com.mx" , "com.ng" , "com.ni" , "com.pa" , "com.pe" , "com.pr" , "com.pt" , "com.py" , "com.sv" , "com.tr" , "com.tt" , "com.tw" , "com.ua" , "com.uy" , "com.ve" , "cx" , "cz" , "dj" , "dk" , "dm" , "ec" , "es" , "fm" , "fr" , "gd" , "gr" , "gs" , "gy" , "hk" , "hn" , "ht" , "hu" , "ie" , "im" , "in" , "ir" , "is" , "kn" , "kz" , "la" , "lc" , "li" , "lu" , "lv" , "ly" , "md" , "me" , "mn" , "ms" , "mu" , "mw" , "my" , "nf" , "nl" , "no" , "pe" , "pk" , "pl" , "ps" , "ro" , "ru" , "sc" , "sg" , "sh" , "sk" , "su" , "tc" , "tj" , "tl" , "tn" , "to" , "tw" , "us" , "vc" , "vn"  

CÁCH PHÒNG TRÁNH

1. Sâu Conficker nguy hiểm hơn các loại sâu khác vì nó có thể tự thiết lập ngẫu nhiên cho phần định dạng tập tin của mình nhằm ngăn chặn các trình bảo mật dò tìm ra được. Người dùng Windows cần đặt chế độ quét toàn bộ các loại tập tin cho trình anti-virus cài đặt trên máy.

2. Microsoft đã đưa Conficker vào danh sách "tiêu diệt" của công cụ bảo mật Microsoft Software Removal Tool (MSRT) trong bản cập nhật mới nhất. Công việc còn lại phụ thuộc vào chính người dùng, chỉ cần cập nhật Windows thường xuyên hoặc bật chế độ tự động cập nhật.

3. Cách thứ 3 ít liên quan đến người dùng thông thường mà dành cho các quản trị mạng, đó là sử dụng Conficker blocklist của hãng bảo mật F-Secure để ngăn sâu Conficker kết nối vào các website.

4. Cách cuối cùng là ngăn chặn khả năng tự kích hoạt của Conficker (Downadup) bằng cách khóa chức năng tự động thực thi (autorun) để máy tính không bị lây nhiễm khi kết nối với ổ lưu trữ USB hay các thiết bị lưu trữ khác nhiễm Conficker.

5. Lưu trữ an toàn (backup) và mã hoá các dữ liệu quan trọng.

6. Cân nhắc trước khi sử dụng công cụ quét và diệt sâu Conflicker của:

7. Do các hệ thống có khả năng bị ảnh hưởng là các hệ thống sử dụng hệ điều hành Windows, nên tạm thời bạn có thể sử dụng hệ điều hành Ubuntu Live CD mã mở hoặc tương tự để truy cập vào web. Kết thúc phiên làm việc trên Ubuntu mọi dữ liệu sẽ không lưu trên RAM nữa nên máy tính không bị nhiễm khi vào Windows.

8. Cân nhắc trước khi quyết định gắn một thiết bị lưu trữ ngoại vi vào máy tính.

 

Cách tắt chế độ Autorun

Tắt Autorun sẽ giúp cho chúng ta thoát khỏi sự tấn công của Conficker từ các thiết bị lưu trữ ngoại vi gắn vào máy tính. Website CĐTH7 xin hướng dẫn các bạn cách tắt chế độ Autorun cho máy tính như sau:

1. Mở Start => Run
2. Gõ gpedit.msc => OK
3. Cửa sổ Group Policy hiện ra. Chọn Computer Configuration/ Administrative/ System/ Turn off Autoplay (double click)
4. Turn off Autoplay Properties/ Settings
5. Chọn (Check) Enable.
6. Ở khung Turn off Autoplay on, chọn All Drivers, OK

Cách tắt chế độ Autorun cho tất cả các ổ đĩa
Cách tắt chế độ Autorun cho tất cả các ổ đĩa
TẢI HÌNH TRÊN VỀ MÁY TÍNH ĐỂ XEM RÕ HƠN
AUTORUN].bmp
Bitmap Image 1.7 MB