Trong số chúng ta, chắc chắn rất nhiều
người đã nghe nói đến loại sâu máy tính lợi hại này, mang tên Conficker
đã lây lan trên hàng triệu máy tính trên khắp thế giới và để lại hậu
quả vô cùng to lớn.
Miễn
là máy tính đó chưa cập nhật bản vá lỗi dành cho Windows XP hoặc Vista,
hoặc không sử dụng chương trình bảo mật Internet Security và Antivirus
có thể phát hiện được Conficker, là những cơ hội thuận lợi để loại sâu
này lây lan vào hệ thống. Cái tên Conficker đã trở nên quen thuộc tới
mức nhiều người nghĩ rằng nó đã là quá khứ, cho tới khi tác giả bài
viết gặp phải 1 biến thể của nó – tác giả hiện đang thuê 1 hệ thống máy
chủ dedicated đặt ở Malaysia, tại trung tâm dữ liệu TM Datacenter, hệ
thống webhost sử dụng hệ điều hành Windows Server 2008 R2. Do nhu cầu
không cần sử dụng đến hệ điều hành mới này, nên tác giả đã yêu cầu bộ
phận kỹ thuật thay đổi về phiên bản Windows XP.
Sau khi bộ phận kỹ thuật bàn giao tài khoản cho tác giả, và ông ấy
tương tác với hệ thống này qua chức năng Remote Desktop Connection.
Việc đầu tiên cần làm là tiến hành cập nhật ngay lập tức các bản vá lỗi
(hotfixes và service pack) trực tiếp từ Microsoft. Ông mở trình duyệt
Internet Explorer và địa chỉ mặc định là trang chủ Microsoft không thể
tải được, vấn đề tương tự cũng xảy ra khi tác giả truy cập vào trang
Windows Update. Nhưng thử lại với Google.com thì không có vấn đề gì.
Ngay lập tức, tác giả nghĩ đến trường hợp file HOSTS bị hỏng. Nhưng sau
khi tiến hành kiểm tra, ông không phát hiện vấn đề gì với file HOSTS
này. Trường hợp tiếp theo có thể do thông số DNS server có thể chuyển
tên miền về dải địa chỉ IP, sau khi thay bằng Google DNS server thì mọi
thứ vẫn không tiến triển.
Với kinh nghiệm của mình, ông suy đoán rằng có thể hệ thống đã bị nhiễm
1 loại virus hoặc worm nào đó, tiến hành tìm kiếm giải pháp trên trang
bảo mật Symantec, và mọi triệu chứng đều dẫn đến thủ phạm Conficker.
Chúng đã thay đổi, thông minh tới mức có thể lây nhiễm vào hệ thống
Windows XP (chưa được vá lỗi) tự động mà không cần có sự tương tác của
người sử dụng.
Thật may mắn, cách khắc phục khá đơn giản, tất cả những gì phải làm là
tạm thời tắt bỏ dịch vụ dnscache, qua đó có thể truy cập vào các trang
web bảo mật và tải công cụ Conficker Removal Tool. Sau khi loại bỏ được
Conficker, ông có thể tiến hành cập nhật Windows để đảm bảo an ninh hệ
thống.
Để dừng dịch vụ dnscache: Start Menu > Run > net stop dnscache và nhấn Enter
Tải công cụ Conficker Removal Tool tại đây.
Tiến hành cập nhật Windows tại đây.
Sâu conficker được phát hiện lại vào khoảng 4 tháng trước đây, và hiện
tại nó vẫn đang hoạt động tại trung tâm dữ liệu TM Datacenter. Sau đó,
tác giả đã nhắc nhở những người quản trị hệ thống tại đây khi đã để
loại sâu độc hại này lây lan dễ dàng như vậy mà không có biện pháp
triệt để hoặc tối ưu nào dành cho khách hàng. Những người sử dụng
Windows XP hoặc Vista được khuyến cáo sử dụng các công cụ tiêu diệt
Conficker như trên, đồng thời tiến hành cập nhật các bản hotfix hoặc
service pack mới nhất để đảm bảo an toàn.
|