Phần mềm lợi dụng lỗ hổng Windows cũng có thể mắc lỗi

Lỗi phần mềm (bug) là một phần tất yếu của giới IT. Ngay cả “con sâu” nổi tiếng Conficker cũng không phải ngoại lệ.

Sau khi đột nhập thành công vào trong một PC bất kì, sâu Conficker sẽ tự động “vá” các lỗ hổng  của hệ điều hành Windows vừa bị lợi dụng để đột nhập vào máy tính đó. Động tác “tử tế” này khiến các phần mềm độc hại khác không thể lợi dụng tấn công PC theo cùng cách thức như Conficker, đồng thời “tung hoả mù” khiến các chuyên gia bảo mật “bó tay” trong việc phân biệt PC nạn nhân với máy tính được cập nhật đầy đủ từ Microsoft.

Tuy nhiên, theo tổ chức phi lợi nhuận Honeynet Project, “bản vá” của Conficker cũng… mắc lỗi như mọi phần mềm thông thường khác. Dựa vào lỗi này, các nhà quản trị mạng có thể sử dụng công cụ miễn phí do Honeynet cung cấp để dò ra các máy tính đã nhiễm Conficker trong hệ thống. Cụ thể hơn, như Dan Kaminsky - một chuyên viên làm việc cùng Honeynet Project cho biết: “Chúng tôi phát hiện ra chi tiết  khá thú vị: Conficker thay đổi các thông số của Windows trên mạng máy tính. Ta có thể quét được các thông tin này trên mạng máy tính theo cách cực kì đơn giản”.

Conficker bắt đầu xuất hiện từ tháng 11 năm ngoái, nhưng chỉ gây ra hỗn loạn khi biến thể mới nhất được lập trình phá hoại vào ngày mai, 1/4. “Con sâu” này lợi dụng một lỗi cũ đã được Microsoft vá từ tháng 10/2008 để tấn công các PC nạn nhân, cũng như tận dụng các phương thức chia sẻ dữ liệu qua mạng máy tính, thẻ nhớ USB. Biến thể mới nhất của Conficker có khả năng tắt bỏ mọi tiến trình bảo mật của hệ điều hành, chặn kết nối tới các website bảo mật, tải về một trojan và kết nối tới các máy tính bị lây nhiễm khác qua kết nối ngang hàng (peer-to-peer). Thêm vào đó, kẻ phá hoại này lưu trữ sẵn một danh sách 50 ngàn tên miền  khác nhau để sẵn sàng cập nhật mệnh lệnh mới - 500 trong số đó đã sẵn sàng cho ngày 1/4 tới. Các phiên bản trước của Conficker chỉ kết nối tới 250 tên miền.

Ảnh
Sơ đồ mô tả cách thức hoạt động của Conflicker

Người dùng có thể thử truy cập tới website bảo mật bất kì như Kaspersky.com. Kết nối sẽ bị chặn lại nếu PC đã bị lây nhiễm sâu Conficker. Cách đơn giản nhất để phòng ngừa lây nhiễm là cập nhật đầy đủ các bản vá mới nhất của Windows. Người “lo xa” hơn có thể thiết lập máy tính kết nối Internet thông qua hệ thống máy chủ DNS của tổ chức OpenDNS, vốn tự động chặn toàn bộ tên miền trong danh sách kết nối của Conficker. Microsoft cũng cung cấp một số thông tin hướng dẫn cách ngăn ngừa và gỡ bỏ Conflicker trên các PC bị lây nhiễm.

Liệu tác giả Conficker có kịp thời “cập nhật” bản vá cho “sản phẩm” của mình? Chúng ta hãy cùng chờ xem.

(Theo Dân trí/CNET)



Bình luận

  • TTCN (0)