Được đánh giá là sâu máy tính nguy hiểm nhất năm 2009, nhưng Conficker.C đã không xuất hiện trong ngày 1/4 như dự báo. Thậm chí, các số liệu thống kê về mức độ lây nhiễm của Conficker.C cũng không thực sự nhất quán.
>> CNET dẫn tin Bkis: Sâu Conficker có thể có nguồn gốc từ Trung Quốc
IBM cho rằng có tới 4% số máy tính toàn cầu bị nhiễm sâu Conficker.C, trong khi đó OpenDNS nói rằng 500.000 máy tính trong số hơn 10 triệu khách hàng của họ có chứa Conficker.C.
Ngày 1/4, Bkis
Việt Nam đã công bố với báo chí quốc tế số lượng máy tính có chứa
Conficker.C toàn cầu hiện vào khoảng 1,3 triệu máy. Trong đó
Trung Quốc có số máy lây nhiễm lớn nhất với 13,8%, theo sau là Brazil
(10,4%) và Nga (9,3%).
Số liệu máy tính và quốc gia nhiễm Conficker.C
Vậy đâu là con số xác thực nhất về số lượng máy tính trên toàn cầu bị nhiễm sâu Conficker.C? Để tìm hiểu về vấn đề này, Bkav.com.vn mời độc giả tham khảo bản mô tả phương pháp và hệ thống Honeypot (“hũ mật” để bẫy virus) mà Bkis đã xây dựng để thống kê số liệu lây nhiễm Conficker.C trên toàn cầu.
Để thiết lập hệ thống này Bkis đã mua 6 tên miền nằm trong danh sách 50 nghìn tên miền mà virus sẽ quét trong ngày 1/4 và thiết lập 6 máy chủ tương ứng để trỏ các tên miền này về các máy chủ đó. Như vậy, bắt đầu từ ngày 1/4, khi các máy tính bị nhiễm Conficker trên toàn cầu bắt đầu quét 50 nghìn tên miền thì chúng sẽ thực hiện truy vấn tới 6 máy chủ mà Bkis đã thiết lập.
Nguyên
lý làm việc của Bkis Honeypot (Chi tiết về sơ đồ có ở phía dưới)
Trên 6 máy chủ của hệ thống Bkis Honeypot, một phần mềm đặc biệt được thiết kế để thu nhận nhật ký truy vấn của virus. Dữ liệu này sẽ được chuyển cho một phần mềm khác mà Bkis đã phát triển để phân tích và đưa ra các số liệu cuối cùng.
Khi một máy tính bị nhiễm Conficker thì vào ngày 1/4, virus trong máy này sẽ tìm cách liên hệ với chủ nhân qua 50.000 tên miền nó tạo ra, trong số đó có cả 6 tên miền mà Bkis đã trỏ vào các máy chủ của mình. Qua đó Bkis có thể tính toán được số máy bị nhiễm Conficker thực hiện truy vấn về hệ thống máy chủ này.
Có một câu hỏi được đặt ra là liệu số lượng truy vấn vào hệ thống Bkis Honeypot có đúng bằng số máy tính lây nhiễm trên toàn cầu hay không ?
Chúng ta cũng biết vào ngày 1/4, mỗi virus Conficker nhiễm trên 1 máy tính sẽ chỉ chọn ra 500 tên miền trong số 50.000 tên miền nó tạo ra và chỉ thực hiện truy vấn tới 500 tên miền đó mà thôi. Nói cách khác, chỉ có 1% (500/50.000) trong số 50 nghìn tên miền được máy tính này kết nối tới.
Do
đó, số lượng truy vấn vào Bkis Honeypot sẽ là 1% của tổng số máy tính
bị nhiễm trên toàn cầu, hay nói cách khác nhân 100 với số truy vấn vào
Bkis Honeypot sẽ ra tổng số máy tính nhiễm Conficker.C. Ngày 1/4 Bkis
Honeypot đã ghi nhận được 13.841 call home (yêu cầu cập nhật bản mới)
từ các máy tính bị nhiễm virus trên toàn cầu. Do đó, tổng số máy
tính bị nhiễm Conficker.C trên toàn cầu sẽ phải là: 13.841 x 100 = 1.384.100.
Và đây là con số chính xác.
Hình ảnh hệ thống của Bkis giám sát hoạt động sâu Conficker trên toàn cầu
Conficker hiện có diễn biến rất phức tạp, Bkis cũng như các tổ chức an ninh mạng khác vẫn luôn theo sát từng hoạt động của sâu nhằm có những dự đoán và hành động kịp thời.
Chi
tiết về sơ đồ Bkis Honeypot:
(1): Các máy tính bị nhiễm Conficker trên toàn cầu thực hiện truy vấn tới 50.000 tên miền trên Internet
(2): Bkis Honeypot Sensor - Hệ thống 6 máy chủ được thiết lập để bẫy các truy vấn của Conficker.
(3): Nhật ký truy vấn của sâu.
(4): Bkis Honeypot Analyses – Hệ thống phân tích dữ liệu nhật ký để đưa ra các thống kê.
(5): Kết quả chính xác số máy tính trên toàn cầu bị nhiễm Conficker và tỉ lệ lây nhiễm tương ứng với từng quốc gia.
Bkis