Biến thể mới có tên Conficker B++ đã được các nhà nghiên cứu thuộc Trung tâm SRI International phát hiện cách đây 3 ngày. Với những người “ngoại đạo” thì biến thể mới này hoạt động giống với “mẹ đẻ” của nó là Conficker B, song thực tế, B++ sử dụng những kỹ thuật hoàn toàn khác để download phần mềm, giúp hacker linh hoạt hơn trong các cuộc tấn công lên những máy tính bị nhiễm virus.

Những máy tính đã bị nhiễm độc sẽ trở thành nơi phát tán spam, dò ký tự bàn phím hoặc tấn công từ chối dịch vụ (DoS).

Theo SRI International, biến thể virus mới này rất có khả năng sẽ “qua mặt” được đội “Conficker Cabal” do Microsoft thành lập để kiểm soát virus độc hại này.

Theo một chuyên gia công nghệ, một trong những nguyên nhân chính giúp Conficker lây lan với tốc độ chóng mặt là bởi vì các quản trị mạng có xu hướng sử dụng các mật khẩu dễ đoán.

Conficker khai thác lỗ hổng của Windows để tấn công máy tính trong một mạng nội bộ. Virus này cũng có thể lây lan qua cổng USB, như camera hay các ổ cứng lưu trữ. Conficker và biến thể mới đã lây nhiễm trong khoảng 10,5 triệu máy tính cá nhân.

- Các thông tin cơ bản về ConFlicker
ConFlicker có hai biến thể kể từ khi xuất hiện lần đầu tiên vào tháng 11 năm 2008. Biến thể đầu tiên không nguy hiểm như biến thể thứ hai, điều này chắc hẳn các bạn đã được nghe nhiều từ các phương tiện truyền thông. Bạn có thể tham khảo các thông tin về ConFlicker được cung cấp bởi ms trong bản nâng cấp bảo mật MS08-067 tại đây. Thế hệ kế tiếp của ConFlicker được tung ra vào tháng 12 năm 2008, đây chính là biến thể có thể tấn công trên diện rộng và nguy hiểm. Bạn có thể đọc thêm tài liệu sau để biết thêm các thông tin về loại biến thể này.

* Tạo các file DLL ẩn với nhiều tên khác nhau trong thư mục Windows System.

* Tạo các file DLL ẩn nằm trong thư mục %ProgramFiles%\Internet Explorer hay %ProgramFiles%\Movie Maker

* Tạo một entry trong Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run.

* Nạp một dịch vụ trong Registry dưới HKLM\SYSTEM\CurrentControlSet\Services.

* Copy vào các máy tính đích trong hệ thống ADMIN$ bằng các chứng chỉ hiện hành của người dùng đã đăng nhập.

* Hack mật các mật khẩu người dùng của SAM nội bộ trên máy tính mục tiêu bằng cách sử dụng các mật khẩu yếu.

* Tạo nhiệm vụ đã được lập trình từ xa trên máy tính đích (nếu username và password bị thỏa hiệp).

* Copy vào tất cả các ổ đĩa được bản đồ hóa và có thể di dời.

* Tạo một file autorun.inf trên tất cả các ổ đĩa sẽ khai thác tính năng AutoPlay nếu được kích hoạt, như vậy khởi chạy sâu trên các máy tính bị tiêm nhiễm trong quá trình autorun.

* Vô hiệu hóa việc xem các file ẩn.

* Chỉnh các thiết lập TCP của hệ thống để cho phép số lượng lớn các kết nối đồng thời.

* Xóa khóa Registry cho Windows Defender.

* Thiết lập lại các điểm khôi phục hệ thống.

* Download các file từ các website khác.

Như những gì bạn có thể thấy, ConFlicker là một loại sâu rất nguy hiểm, tiêm nhiễm vào rất nhiều phần khác nhau của hệ thống, cũng như các thư mục, Registry và các vùng khác trong hệ thống.

Giải pháp tốt nhất để chống lại ConFlicker là phải đạt được bản vá từ Microsoft.

Bạn sẽ thấy rằng Windows Vista và Windows 2008 chỉ ở mức “Important” đối với lỗ hổng này, do khả năng bảo vệ và an toàn hơn của hai hệ điều hành này so với các hệ điều hành trước đó.

- Các thiết lập Group Policy bảo vệ chống lại ConFlicker
Trước tiên, nếu người dùng đang bị tấn công không phải là thành viên của nhóm Administrators nội bộ thì sâu này sẽ dành nhiều thời gian trong việc tiêm nhiễm vào máy tính. Vì vậy, để vô hiệu hóa trong tình huống này, bạn có thể sử dụng Group Policy Preferences để remove tài khoản người dùng khỏi nhóm quản trị viên nội bộ. Chính sách này được định vị trong User Configuration\Preferences\Control Panel Settings\Local Users and Groups. Bạn chỉ cần cấu hình chính sách nhóm nội bộ cho “Administrators”, sau đó chọn nút tùy chọn “Remove the current user”, xem thể hiện trong hình 1.

Do loại sâu này sẽ cố gắng liệt kê sau đó tấn công vào danh sách các username nội bộ trên máy tính mục tiêu, nên bạn cần bảo đảm rằng không còn tài khoản người dùng nào trong SAM nội bộ cho mỗi máy trạm. Điều này có thể được thực hiện bằng cách sử dụng chính sách như thể hiện trong hình 1, tuy nhiên cũng cho phép bạn xóa tất cả các người dùng trong nhóm Administrators, xem thể hiện trong hình 2.

Lưu ý:
Trong hình 2, nhóm Domain Admins và tài khoản Administrator nội bộ có thể bị bắt buộc vào nhóm Administrator nội bộ, đây chính là giải pháp bảo mật tốt nhất ở đây.

Mặc dù thiết lập tiếp theo này không có trong Windows XP hoặc Server 2003 nhưng nó là một cấu hình tuyệt vời cho Windows Vista và Server 2008. Group Policy sẽ điều khiển tất cả các vùng trong User Account Control và sau đó nhắc nhở sự ưng thuận cho quản trị viên và từ chối nâng quyền (đối với người dùng chuẩn). Cách thức thực hiện này sẽ ngăn chặn được virus, sâu và các phần mềm mã độc khác muốn thực hiện các nhiệm vụ nhằm thay đổi các file của hệ điều hành và Registry. Các hành động này chỉ nên thực hiện trong phần foreground, khi người dùng cố gắng thực hiện một trong các nhiệm vụ quản trị viên. ConFlicker sẽ có gắng viết vào và thay đổi một số lượng lớn các file, thư mục được bảo vệ và các entry của registry ẩn đằng sau. Các thiết lập UAC này có thể được thấy trong Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options. Hình 3 minh chứng một danh sách đầy đủ các thiết lập có thể được cấu hình.

Tập cuối cùng các thiết lập Group Policy cần được cấu hình có liên quan đến các mật khẩu tài khoản người dùng. Do ConFlicker sẽ cố gắng đoán các mật khẩu, nên chúng ta cần phải bảo đảm rằng Password Policies sẽ được thiết lập để có được các mật khẩu đủ mạnh và đủ dài. Điều này có thể được thực hiện trong Default Domain Policy cho các miền Active Directory, tuy nhiên cũng có thể được cấu hình trong GPO nội bộ đối với các máy tính chuẩn. Các thiết lập cho Password Policies nằm trong Computer Configuration\Windows Settings\Security Settings\Local Policies\Account Policies, xem thể hiện trong hình 4.

Thiết lập Group Policy cuối cùng có thể cấu hình là sự điều khiển AutoPlay. Do ConFlicker sẽ ghi vào các thiết bị ngoài có thể được điều khiển bởi AutoPlay nên loại sâu này có thể được khởi tạo bằng cách nằm vào trong file file trên các thiết bị lắp ngoài. Mặc dù vậy nếu tính năng AutoPlay bị vô hiệu hóa thì hành động này sẽ không được phép. Để vô hiệu hóa chức năng AutoPlay này thông qua Group Policy, bạn vào Computer Configuration\Administrative Templates\Windows Components, xem thể hiện trong hình 5.

Hình 5: AutoPlay có thể bị vô hiệu hóa thông qua Group Policy

 

Kết luận
ConFlicker đang lớn dần lên chính là sự thiếu hành động một cách kịp thời. Bản vá được phát hành và khả năng vô hiệu hóa loại sâu này là hoàn toàn có thể ngay từ khi nó được phát hành. Nếu các quản trị viên, các công ty và người dùng đưa ra hành động từ chối sự thẩm thấu hay thâm nhập sâu hơn nữa của loại sâu này thì những mối lo ngại sẽ bị giải tỏa. Tuy nhiên cho tới hiện giờ, sâu này vẫn tiếp tục lan tràn rộng. Đó chính là lý do tại sao các bạn cần đưa ra các hành động kịp thời để ngừng sự lây lan của nó. Hành động tốt nhất cho trường hợp này là cấu hình Group Policy để hạn chế sự truy cập vào hệ thống và cải thiện độ bảo mật của các mật khẩu trên hệ thống. Việc từ chối truy cập của ConFlicker vào hệ thống có thể thực hiện khá dễ dàng. Các mật khẩu cũng được bảo vệ khá dễ dàng và nên được cấu hình đủ dài và đủ phức tạp. Khi thực hiện đúng các hành động này, các hệ thống của bạn sẽ được bảo vệ và loại sâu nguy hiểm này sẽ không thể xâm nhập vào hệ thống.

 

---

• 02/07/2009 - Duyệt web nhanh hơn và dễ dàng hơn với Firefox 3.5
• 01/07/2009 - Tính năng dịch tiếng Việt của Facebook bị lợi dụng
• 30/06/2009 - Mẹo vặt sử dụng USB
• 26/06/2009 - Clickjack - thêm một nguy cơ cho người dùng web
• 02/04/2009 - 7 điều nên biết để phòng tránh sâu Conficker
• 24/03/2009 - Virus máy tính nguy hiểm nhất 2009 tái xuất vào 1/4
• 24/03/2009 - So sánh tứ đại gia: Chrome, IE8, Firefox 3.1 và Safari 4
• 23/03/2009 - Phần mềm diệt virus CMC hơn AVG, Bitdefender?
• 23/03/2009 - Dân IT “khoái” Firefox hơn IE
• 22/03/2009 - 5 công cụ kiểm tra tốc độ USB

• 22/03/2009 - Gmail là dịch vụ đầu tiên cho phép thu lại e-mail vừa gửi
• 22/03/2009 - Cài đặt và khám phá 8 tính năng mới của Internet Explorer 8

---