Giới thiệu về sâu Conficker

Giới thiệu                                                                                                             

    Conficker, còn được gọi là Downup, Downandup, conflicker, và Kido, là một con sâu máy tính nổi lên ngày 21 tháng 11 năm 2008 với Conficker.A và mục tiêu của hệ điều hành Microsoft Windows. Những con sâu khai thác một lỗ hổng được biết đến (MS08-067) trong dịch vụ Windows Server sử dụng Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008 và Windows 7 Beta...

Hoạt động                                                                                                              

    Sâu Conficker lây lan chính nó chủ yếu thông qua một lỗ hổng tràn bộ đệm trong dịch vụ Server trên các máy tính Windows.Nó sử dụng một yêu cầu RPC đặc biệt để thực thi mã trên máy tính mục tiêu.

   Khi thực thi trên máy tính, Conficker vô hiệu hóa một số dịch vụ hệ thống như Windows Automatic Update, Windows Security Center, Windows Defender và Windows Error Reporting.

    Nó nhận được hướng dẫn thêm bằng cách kết nối đến một máy chủ hoặc đồng đẳng và nhận được một cập nhật nhị phân. Các hướng dẫn mà nó nhận được có thể bao gồm tuyên truyền, thu thập thông tin cá nhân và để tải về và cài đặt phần mềm độc hại khác vào máy tính của nạn nhân. con sâu này cũng gắn nó với một số quy trình Windows như explorer.exe, svchost.exe và services.exe.

Các triệu chứng lây nhiễm                                                                                    

    -Port 445/TCP scanning, specifically

    -DNS lookups or HTTP GET requests for trafficconvert.biz (A variant)

    -Up to 250 DNS lookups/HTTP GET request across 8 TLDs per day (A/B variant)

    -Domain names are between 5-11 lowercase alpha chars in length

    -Format: http://IP/search?q=n\&aq=7} (A variant) http://IP/search?q=n} (B variant)

    -Up to 500 DNS lookups/HTTP GET request across 110 TLDs per day (C variant)

    -Domain names are between 4-9 lowercase alpha chars in length

    -Ngăn chặn truy vấn đến các trang liên quan đến bảo mật (A/B/C variant)

    -Vô hiệu hóa hoặc tắt các chương trình bảo mật (A/B/C variant)

    -Các chương trình Antivirus (AV)

    -Các tính năng bảo mật và update của Windows 

    -Các công cụ quản trị hệ thống

    -Tấn công vét cạn (thử tất cả các mật khẩu) để tìm mật khẩu của các tài nguyên được chia sẻ trên mạng (B variant)

    -Hủy bỏ tất cả các điểm khôi phục hệ thống  (System Restore Points) (C variant)

    Những cổng TCP có số hiệu cao trên 1024 (giả mạo ngẫu nhiên)  và hoạt động UDP P2P (C variant)

Nguồn: http://www.confickerworkinggroup.org