Xuất hiện biến thể mới của sâu Conficker

Một biến thể mới của Conficker - loại sâu từng tấn công và làm tê liệt hàng triệu máy tính trên toàn thế giới hồi tháng trước - đang phát tán rất nhanh trên mạng Internet. Đặc điểm của nó là mở ra một "cánh cửa sau" giúp kẻ tấn công cấy phần mềm phá hoại vào những máy tính nhiễm sâu, tổ chức bảo mật US-CERT của Mỹ cảnh báo.

Điều nguy hiểm là biến thể sâu Conficker/Downadup mới, với tên gọi "Conficker B++", đã sử dụng một loại cửa sau hoàn toàn mới, với khả năng "tự động cập nhật".

Tuy nhiên, gã khổng lồ phần mềm Microsoft trấn an người dùng rằng không có bất cứ dấu hiệu nào cho thấy: những máy tính bị nhiễm các phiên bản Conficker trước đây sẽ tự động nhiễm thêm biến thể mới.

Các phiên bản trước đây cũng chứng tỏ chủ nhân của chúng là một kẻ rất "độc tài". Sau khi khoan sâu vào lỗ hổng trong máy tính, Conficker sẽ bịt lỗ hổng lại để ngăn không cho nó bị các loại malware khác khai thác.

Thế nhưng Microsoft phát hiện thấy sự độc tài này không còn duy trì tới biến thể mới. "Nó không còn bảo vệ lỗ hổng netapi32.dll trước mọi nỗ lực tấn công nữa.

Thay vào đó, nó thường xuyên kiểm tra địa chỉ URL để nhận lệnh tải các malware mới, theo chỉ đạo từ kẻ tấn công. File tải về sẽ chỉ được kích hoạt nếu như nhận được sự xác thực từ chủ nhân.

Cách đây 2 tuần, Microsoft đã treo giải thưởng lên tới 250.000 USD để tìm ra tung tích của kẻ viết ra và phát tán sâu Conficker.

Bắt đầu xuất hiện trên mạng từ năm ngoái, Conficker lây lan thông qua một lỗ hổng bên trong các hệ thống Windows, đào sâu vào một lỗi mà Microsoft đã vá lại hồi tháng 10 nhưng bất thành.

Ngoài ra, Conficker còn phát tán được qua những thiết bị lưu trữ di động kiểu như ổ USB.

Trong khi biến thể mới còn đang ca khúc "dạo đầu", các phiên bản tiền nhiệm của nó vẫn hết sức "bận rộn". Conficker.A đã lây nhiễm được hơn 4,7 triệu địa chỉ IP, trong khi phiên bản kế nhiệm Conficker B "hủy diệt" tới 6,7 triệu địa chỉ IP.

Gộp chung cả hai biến thể, số hosting bị ảnh hưởng lên tới xấp xỉ 4 triệu, US-CERT cho biết.