Câu chuyện Conficker vẫn chưa có hồi kết

Ngày 1 tháng 4 đã trôi qua và Internet không bị hủy hoại và không có các tấn công lớn nào được báo cáo. Tuy nhiên Conficker vẫn để lại một mối đe dọa. Điều đó có nghĩa trận chiến đấu cuối cùng có thể diễn ra bất cứ lúc nào và chúng ta cần phải bảo đảm rằng máy tính của mình được vá một cách đầy đủ nếu nó chưa sẵn sàng cho cuộc chiến. Sau những chuẩn bị kỹ lưỡng đó, chúng ta hãy đi xem xét vào những gì sẽ tiếp diễn.

Nhóm xử lý Conficker (Conficker Working Group) được thành lập từ 27 công ty và các hãng công nghệ lớn trên toàn thế giới trong đó gồm có AOL, F-Secure, Facebook, ICANN, Kaspersky, McAffee, Microsoft, Symantec đã nói rằng, Conficker, hay vẫn được biết với các cái tên Downup, Downadup và Kido, là một loại sâu có mức tiêm nhiễm vào máy tính lớn nhất thế giới từ vụ SQL Slammer nằm 2003. CWG ước lượng có khoảng 3 đến 15 triệu máy tính trên toàn thế giới bị tiêm nhiễm, con số đó rơi vào khoảng 30% các máy tính Windows trên toàn cầu không được cập nhật các bản vá mới nhất để bảo đảm chống lại Conficker. Tác giả của virus cũng vẫn tự do và truyền thông với Conficker mặc dù khả năng đã bị giảm một cách đánh kể.

Các bạn có thể tham khảo bản đồ được cung cấp bởi CWG, sự tiêm nhiễm của Conficker xảy ra ở khá nhiều địa điểm trên nước Mỹ, mặc dù vậy những vùng bị ảnh hưởng nhiều nhất đó là Châu Á và Nam Mỹ gồm có Vietnam, Brazil, Philippines, Indonesia cũng như Algeria.

Vùng bị tấn công khắc nghiệt nhất cũng có một sự tương quan với số máy tính Windows chưa được vá vì Châu Á, Đông Âu và Nam Mỹ là các vùng sử dụng nhiều các phần mềm Windows sao chép lậu. Điều đó cũng có thể trả lời câu hỏi tại sao Việt Nam bị Conficker tấn công mạnh nhất thế giới.

Do hầu hết người dùng Windows với phiên bản sao chép lậu thường tắt bở chức năng tự động cập nhật các nâng cấp để tránh cơ chế phát hiện xâm phạm bản quyền của Microsoft, nên những máy tính của họ có các lỗ hổng để Conficker có thể tấn công. Chính vì vậy rủi ro từ Conficker vẫn tiếp tục thậm chí Microsoft cho phép một số bản vá quan trọng cho những bản copy lậu này.

Vậy Conficker đang thực hiện những gì? Hôm 1/4, Conficker đã bắt đầu hành động tấn công của nó bằng cách liên lạc với 500 website từ một danh sách được tạo ngẫu nhiên từ 50.000 site. Conficker sẽ tiếp tục thực hện công việc này hàng ngày cho tới khi nó nhận được các chỉ dẫn để thực hiện các hành động khác. Những chỉ dẫn có thể là một nâng cấp phần mềm đơn giản hoặc các máy tính bị tiêm nhiễm có thể làm việc như một botnet nghi phạm hay tấn công các mạng máy tính khác. Các chuyên gia bảo mật và CNTT đang làm việc để khóa chặn việc Conficker đưa ra các hành động tấn công tiếp theo, tuy nhiên họ không thể khóa chặn tất cả lưu lượng Conficker. Chính vì vậy, một số máy tính bị tiêm nhiễm có thể lọt qua nhưng may mắn những chỉ lệnh vẫn chưa được phát hành. Chủ nhân của Conficker có thể đang tạm lắng xuống cho tới khi dư luận về Conficker tắt dần trước khi liên lạc với sản phẩm mới.

Nếu Conficker được cập nhật hoặc nhận được các chỉ lệnh tiếp theo, khả năng đó có thể thực hiện giữa các máy bị tiêm nhiễn mà không cần đến nhu cầu của máy chủ hoặc website do Conficker dụng giao thức P2P để truyền thông giữa các máy tính bị tiêm nhiễm. Conficker có thể chia sẻ file, Với P2P, sâu máy tính có thể phân phối các nâng cấp phần mềm nhanh hơn rất nhiều nếu máy bị tiêm nhiễm đã truyền thông với máy chủ chính.

Liệu điều đó có nghĩa thế giới sẽ chấm hết? Có thể không và vấn đề này chưa bao giờ liên quan tới Conficker mặc dù bạn có thể đã đọc các kịch bản về ngày tận có thể diễn ra. Sự thật mà hầu hết các chuyên gia bảo mật cho rằng, Conficker chỉ là một sâu botnet được sử dụng cho việc đánh cắp nhận dạng hoặc liên quan đến các hình thức tôi phạm tin học khác. Nhận định của các chuyên gia rằng hầu như Conficker được đặt dưới kiểm soát bởi một tổ chức tội phạm ở Châu Á, Đông Âu hoặc Nam Mỹ và nhóm này có thể cho thuê những khả năng có thể của Conficker nếu botnet trở nên tích cực. Chính vì vậy có một lý do đặt ra liệu đócó phải lý do tài chính?

Tuy nhiên bạn đọc cần tin tưởng một điều rằng, Conficker chỉ là sự đe dọa nếu máy tính không có các bản vá lỗi mới nhất từ Microsoft và cập nhật kịp thời chương trình chống virus