Đêm qua (9/4) lại có một biến thể mới sâu Conficker ra đời tiếp tục thực hiện “sứ mệnh” còn dang dở mà Conficker.c đã không làm được trong ngày Cá tháng 4 vừa qua.
Conficker.e “đản sinh”
Ông Kevin Hogan – Giám đốc nhóm phản ứng với các tình trạng bảo mật của Symantec – cho biết biến thể mới Conficker được đặt tên là Conficker.e. Bắt đầu từ đêm hôm qua biến thể này bắt đầu bí mật được phát tán và xâm nhập các PC thông qua kênh kết nối mà Conficker.c đã tạo ra trước đó.
Cụ thể trước đó Conficker.c đã thiết lập thành công một kênh liên lạc cập nhật mới giữa PC bị lây nhiễm với máy chủ của tin tặc nhằm giúp nó có thể nhanh chóng nhận lệnh tấn công cũng như cập nhật phiên bản mới.
Đồng thời biến thể này cũng được bổ sung thêm khả năng kết nối với các PC bị lây nhiễm khác thông qua kết nối chia sẻ ngang hàng P2P nhằm giúp chúng có thể thuận tiện cập nhật phiên bản mới và mã lệnh tấn công lên mọi PC bị lây nhiễm ngay cả trong trường hợp máy chủ bị tiêu diệt đồng thời đẩy nhanh tốc độ phát tán biến thể mới.
Ông Hogan cho biết những nghiên cứu phân tích bước đầu cho thấy Conficker.e rất giống với phiên bản đầu tiên được phát hiện hồi tháng 11/2008. “Nhìn sơ bộ thì Conficker.e khá giống với Conficker.a. Song trên thực tế đây là một phiên bản hoàn toàn mới và là sự tổng hợp mã nguồn từ những biến thể hiện đang phát tán trên mạng Internet”.
“Đánh hội đồng”
Hãng bảo mật Symantec cho biết lần này Conficker.e không đi một mình nữa mà nó còn kéo theo một “hội đồng” nhiều phần mềm độc hại khác cùng tấn công PC với mục đích giúp nó nhanh chóng đạt được mục đích tấn công nhanh nhất.
Đầu tiên phải kể đến sự có mặt của Waledac trong “cái hội đồng” đó. Đây là một dạng mã độc BOT chuyên “bắt cóc” và biến PC người dùng trở thành công cụ phát tán thư rác nổi tiếng trong vài tháng trở lại đây.
Một trong những nguyên nhân khiến Waledac nổi tiếng bởi nó được xem là phiên bản nâng cấp của con sâu máy tính khét tiếng về khả năng phát tán thư rác Storm. Cộng đồng bảo mật tin rằng những kẻ phát triển Waledac cũng nằm trong nhóm những đối tượng đã lập trình và điều khiển Storm.
Tương tự như Storm, một khi đột nhập thành công, Waledac cũng sẽ cài thêm một mã độc Trojan nhằm giúp tin tặc từ xa chiếm được quyền điều khiển và biến PC của người dùng trở thành một thành viên trong mạng BOTNET chuyên dụng phát tán thư rác.
“Ở đây đã nảy sinh ra hai vấn đề mà chúng ta cần quan tâm,” ông Hogan nhấn rất mạnh đến điều này khi nói về “liên minh” Conficker.e-Waledac. “Thứ nhất rất có thể những kẻ đã phát triển Waledac cũng nhằm trong nhóm đối tượng đứng đằng sau giật dây điều khiển Conficker hoặc ít nhất là hai nhóm phát triển Conficker và Waledac có mối liên hệ với nhau”.
“Thứ hai là những kẻ giật dây điều khiển Conficker đã quyết định bán hoặc cho thuê mạng lưới những PC mà chúng đã bắt cóc được cho kẻ phát tán Waledac để kẻ này sử dụng vào mục đích phát tán thư rác. Nếu điều này là đúng thì những kẻ phát tán Conficker đã bắt đầu có những hành động cần thiết để thực hiện mục tiêu kiếm tiền từ mã độc.”
Kể từ khi xuất hiện cho đến nay thì đây là lần đầu tiên Conficker dính líu đến thư rác. “Conficker phát tán thư rác là điều đã được thực tế chứng minh. Vấn đề còn nằm trong bóng tối là hai nhóm phát triển Conficker và Waledac có mối liên hệ nào hay không,” ông Hogan cho biết.
Giả mạo phần mềm bảo mật
Hãng bảo mật Kaspersky Lab còn phát hiện lần này Conficker.e còn kéo theo một phần mềm bảo mật giả mạo. Đây là loại phần mềm thường lừa người dùng bằng những cảnh báo bảo mật hay lây nhiễm mã độc giả mạo. Chúng sẽ liên tục bung ra những cửa sổ pop-up cảnh báo chừng nào người dùng chấp nhận trả tiền cho chúng.
Cụ thể - chuyên gia nghiên cứu Alex Gostev của Kaspersky cho biết - Conficker.e tải về và cài đặt phần mềm bảo mật giả mạo có tên SpywareProtect2009. Để loại bỏ được phần mềm phiền toái này người dùng phải chấp nhận trả cho tin tặc 50 USD.
Chuyện Conficker phát tán phần mềm bảo mật giả mạo không phải là một điều gì còn mới mẻ. Biến thể đầu tiên con sâu máy tính này cũng đã phát tán một phần mềm bảo mật giả mạo song không mấy thành công.
Không giống như biến thể Conficker.c, biến thể Conficker.e đã được khôi phục lại khả năng khai thác lỗi bảo mật nguy hiểm trong Windows như đã có trong biến thể đầu tiên. Thực tế Conficker.c chỉ là phiên bản nâng cấp trực tiếp lên các PC bị lây nhiễm chứ không chủ động lây nhiễm như biến thể Conficker.b.
“Nếu tin tặc muốn tiếp tục phát tán Conficker để kiếm lợi thì tất yếu chúng lại phải phát tán và lây nhiễm con sâu máy tính này mạnh mẽ hơn lên nhiều PC hơn,” ông Hogan nhận định. “Tôi có thể khẳng định tới đây Conficker sẽ nguy hiểm hơn thời gian qua rất nhiều”.
Bắt đầu kiếm tiền
Rõ ràng với tất cả những đặc điểm trên đây thì chúng ta có thể thấy những kẻ đứng đằng sau giật dây điều khiển Conficker sau một thời gian đã bắt đầu thể hiện rõ động cơ phát triển nên con sâu máy tính nguy hiểm này. Đó chính là mục tiêu kiếm tiền từ các hoạt động bất hợp pháp. Đây mới là mục tiêu cuối cùng và quan trọng nhất của Conficker.
“Cộng đồng toàn cầu đã quá chú trọng đến sự kiện ngày 1/4 và biến thể Conficker.c mà dường như quên đi mục tiêu cuối cùng của con sâu máy tính này,” ông Hogan khẳng định.
Đây cũng là một điều rất dễ hiểu bởi hai biến thể Conficker gần đây – đặc biệt là biến thể Conficker.b đã lây nhiễm hơn 4 triệu PC trên toàn cầu – không hề thể hiện rõ động cơ kinh doanh kiếm tiền bất hợp pháp.
Nhưng dù gì đi chăng nữa thì đã là mã độc được phát triển nên trong thời gian qua thì đều có chung một động cơ duy nhất là kiếm tiền bất hợp pháp. Conficker cũng không phải là một ngoại lệ.
Theo VnMedia (Computerworld/PCworld/eWeek)
Bình luận