Conficker Removal Tool (nên xem)

Các trung tâm ứng cứu khẩn cấp máy tính (CERT) tại Mỹ, Châu Âu, Việt Nam và các hãng bảo mật danh tiếng trên toàn thế giới (Symantec, TrendMicro, McAfee, F-Secure… ) đã phát đi cảnh báo đỏ (mức nguy hiểm) về khả năng phát tán và phá hoại trên diện rộng của sâu Conficker ngày 1.4.

Ra đời vào cuối năm 2008 nhưng đến đầu năm 2009 Conficker liên tiếp xuất hiện với 3 biến thể và biến thể gần đây nhất là Conficker.C. Conficker hay còn được biết đến với tên gọi khác là Downadup (Symantec) hay Kido (Kaspersky), một trong những loại sâu nguy hiểm nhất lịch sử đã và đang tiếp tục gây nhiễm tới hàng triệu máy tính. Vào ngày 1/4 cả thế giới được dự báo Conficker sẽ khai hỏa một đợt tấn công mới.

Trong khi biến thể mới của Conficker còn đang trong khúc mở màn thì các phiên bản tiền nhiệm của nó vẫn hết sức "bận rộn". Conficker.A đã lây nhiễm được hơn 4,7 triệu địa chỉ IP, trong khi phiên bản kế nhiệm Conficker B "hủy diệt" tới 6,7 triệu địa chỉ IP. Với khả năng lây lan cực nhanh 50.000 tên miền/ ngày, giờ đây chúng còn có khả năng vô hiệu hóa tất cả các phần mềm diệt virus phổ biến.

“Conficker được tin tặc phát triển bằng cách sử dụng những thuật toán hết sức tinh xảo, tạo ra những chuỗi kỹ tự thay đổi theo thời gian, cùng với thuật toán mã hoá mới nhất là MD6. Hãng bảo mật F-Secure đã tuyên bố bó tay trong việc truy lùng tác giả loại sâu này” – Ông Vũ Lâm Bằng, Giám đốc trung tâm kỹ thuật CMC InfoSec cho biết.

Theo dự đoán của các chuyên gia một đợt tấn công mới vào ngày 1/4 tới sẽ chặn mọi kết nối với máy tính người dùng với các trang web bảo mật đồng thời kích hoạt một chiến dịch phát tán thư rác, đưa thêm nhiều trojan nguy hiểm gây nghẽn mạng bằng các cuộc tấn công từ chối dịch vụ hoặc hạ gục các website mục tiêu. Đội quân zombie (hay còn có tên khác là botnet) của sâu Conficker là một trong những công cụ phạm tội hiệu quả nhất từ trước tới nay. Việc duy nhất mà tác giả của Conficker cần làm chỉ là tìm ra cách "giao tiếp" với đạo quân của mình cho tốt mà thôi.

Tốc độ phát tán quá khủng khiếp của Conficker đã khiến gần như tất cả các hãng bảo mật đều không thể ngó lơ. Microsoft đã treo giải thưởng với giá 250.000 USD cho ai phát hiện ra tác giả của Conficker. Họ đã liên kết với nhau, với các công ty đăng ký tên miền, với quản trị các website để ngăn chặn botnet tiếp cận.

CMC InfoSec với vai trò là một trong những nhà cung cấp các giải pháp bảo mật thông tin trong nước cũng không thể khoanh tay đứng ngoài cuộc. CMC không ngừng nỗ lực truy tìm và xây dựng các công cụ tiêu diệt “sâu khủng” này. Theo Ông Nguyễn Hoàng Giang- Chuyên gia phân tích virus cho biết “Chúng tôi đã phát triển một công cụ riêng (remover tools) để diệt triệt để sâu siêu khủng này và sẽ tiếp tục theo dõi các biến thể của nó để cập nhật công cụ diệt cho người dùng. ”.

“Cách đơn giản nhất để ngăn chặn sự lây lan của sâu này là luôn đảm bảo máy tính của bạn có bản cập nhật mới nhất của Windows, vô hiệu hóa tính năng autorun của Windows. Đồng thời bạn cũng phải chắc chắn chương trình Antivirus hoạt động bình thường và cập nhật thường xuyên. Một điều cuối cùng xin khuyến cáo tới người dùng là tại thời điểm nhạy cảm này bạn không nên ghé thăm những trang web lạ mà bản thân ít ghé thăm” – ông Nguyễn Hoàng Giang đưa lời khuyên với người sử dụng máy tính để phòng sâu Conficker.



Download:
http://www.download.com.vn/Data/Soft/2009/04/02/CMC-Conficker_Download.com.vn.zip

Tải bản vá tại đây:

Win XP SP2:
http://www.download.com.vn/Data/Soft/2009/04/02/WindowsXP-KB958644-x86-ENU(SP2).rar

Win XP SP3:
http://www.download.com.vn/Data/Soft/2009/04/02/WindowsXP-KB958644-x86-ENU(SP3).rar

Đội ngũ Hỗ trợ Kỹ thuật Kaspersky Lab Việt Nam nhận được rất nhiều thông báo về sự lây nhiễm ngày càng tăng trong hệ thống mạng doanh nghiệp của dòng sâu Net-Worm.Win32.Kido (hay còn gọi là Downadup / Conficker). Sau đây là một số mô tả về dòng sâu này và cách diệt nó.

Các triệu chứng của hệ thống mạng bị nhiễm.

1. Lưu lượng truy cập mạng tăng đột biến nếu có máy tính trong hệ thống mạng bị nhiễm, bởi vì hệ thống mạng bị tấn công từ những máy tính này.

2. Các chương trình Anti-Virus có tính năng IDS (Intrusion Detection System) xuất hiện các thông báo bị tấn công Intrusion.Win.NETAPI.buffer-overflow.exploit

Mô tả ngắn về dòng virus Net-Worm.Win32.Kido.

1. Nó tạo ra các tập tin autorun.inf và RECYCLED\{SID<....>}\RANDOM_NAME.vmx trong các ổ cứng di động (USB Flash) và đôi khi là trong mạng chia sẽ của các doanh nghiệp.

2. Nó lưu trữ chính nó vào hệ thống như là một tập tin DLL với một tên bất kỳ (vd: c:\windows\system32\zorizr.dll).

3. Nó đăng ký chính nó và hệ thống dịch vụ của máy tính với một tên bất kỳ (vd: knqdgsm).

4. Nó thử tấn công các máy tính thông qua cổng TCP 445 hoặc 139, sử dụng lỗi bảo mật MS Windows vulnerability MS08-067.

5. Nó thử kết nối tới một số website sau (chúng tôi khuyên bạn nên thiết lập tường lửa mạng để giám sát các kết nối tới những website này):
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://trafficconverter.biz/4vir/antispyware/loadadv.exe
http://trafficconverter.biz
http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz

Các phương pháp diệt virus này.

Khách hàng nên dùng một công cụ đặc biệt là kidokiller.exe để diệt loại virus này.

Để tránh cho tất cả máy trạm và server khỏi bị nhiễm loại sâu này, KH nên làm như sau:
Cài đặt bản và lỗi mới nhất từ Microsoft đối với các lỗ hổng MS08-067, MS08-068, MS09-001.
Chắc rằng mật khẩu của tài khoản Local Administrator khó có thể tìm ra và bị hack dễ dàng – mật khẩu nên bao gồm ít nhất 6 ký tự; sử dụng hỗn hợp lẫn lộn giữa chữ thường, chữ viết hoa, số và các ký tự đặc biệt (như dấu #, !, $, @...).
Tắt tính năng chạy tự động từ ổ đĩa di động.

Công cụ kidokiller.exe có thể chạy trực tiếp trên máy tính bị nhiễm, hoặc từ xa với sự hỗ trợ của Kaspersky Administration Kit.

Để gỡ bỏ virus trực tiếp trên máy bị nhiễm:

1. Tải về tập tin nén KK_v3.4.6.zip và giải nén nó vào một thư mục trên máy tính bị nhiễm.

2. Chạy tập tin KidoKiller.exe

Khi quét sẽ xuất hiện nhiều cửa sổ dòng lệnh, nhấn nút bất kỳ để thu nhỏ cửa sổ. Để cửa sổ dòng lệnh tự động đóng lại, bạn nên chạy công cụ KidoKiller.exe với tham số –y.

3. Chờ cho đến khi quá trình quét hoàn tất.

Nếu trên máy bị nhiễm có cài Agnitum Outpost Firewall thì bắt buộc phải khởi động lại máy tính mỗi khi công cụ thực hiện xong.

4. Tiến hành quét toàn diện máy tính của bạn với Kaspersky Anti-Virus

Để gỡ bỏ virus thông qua Administration Kit:

1. Tải về tập tin nén KK_v3.4.6.zip và giải nén nó vào một thư mục.

2. Trong Administration Kit console tạo gói cài đặt cho ứng dụng KidoKiller.exe. Trong gói cài đặt cấu hình trên bước Application chọn Make installation package for specified executable file.

Trong trường Executable file command line (optional) định tham số –y để đóng của sổ console tự động mỗi khi công cụ thực hiện xong.



3. Tạo một global hoặc group task for remote installation của gói cài đặt để gán vào các máy tính và chạy tác vụ.

Công cụ KidoKiller.exe có thể chạy trên tất cả các máy tính trong mạng theo dạng chạy tác vụ.

4. Sau mỗi lần công cụ hoạt động xong, quét virus từng máy tính trong mạng sử dụng Kaspersky Anti-Virus

Nếu trên máy bị nhiễm có cài Agnitum Outpost Firewall thì bắt buộc phải khởi động lại máy tính mỗi khi công cụ thực hiện xong.

Để biết thêm thông tin về công cụ này, chạy KidoKiller.exe với thông số –help.

Các thông số quản lý KidoKiller.exe từ dòng lệnh:

-p <Scan path> - scan a defined folder

-f - quét ổ cứng

-n - quét ổ đĩa mạng

-r - quét ổ đĩa di động

-y - kết thúc chương trình mà không cần nhấn phím bất kỳ

-s - chế độ im lặng (không hiện cửa sổ màn hình đen)

-l <file name> - ghi thông vào một tập tin nhật ký

-v - extended log maintenance (nên dùng với tham số -l )

-help - hiển thị thông tin bổ sung về công cụ

Ví dụ, trong trường hợp quét một ổ đĩa di động và ghi nhận báo cáo vào một tập tin report.txt (nó sẽ được tạo trong thư mục cài đặt của KidoKiller.exe), sử dụng dòng lệnh sau:

kidokiller.exe -r -y -l report.txt -v