Conficker

Bách khoa toàn thư mở Wikipedia
Bước tới: menu, tìm kiếm
Conficker
Conficker VI.png
Tên phổ biến Conficker
Bí danh
Phân loại Không rõ
Kiểu Sâu máy tính
Kiểu con Virus máy tính

Conficker, còn được biết đến với tên Downup, DownadupKido, là một loại sâu máy tính nhắm đến hệ điều hành Microsoft Windows, được phát hiện lần đầu tiên vào tháng 10 năm 2008[1]. Biến thể đầu tiên của sâu này lan truyền qua Internet nhờ khai thác một lỗ hổng trong chồng mạng của Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 Beta, và Windows Server 2008 R2 Beta vừa được khám phá vào tháng trước[2]. Loại sâu này gây khó khăn một cách đáng ngạc nhiên cho các nhà điều hành mạng và cơ quan thực thi luật pháp vì nó sử dụng phối hợp nhiều loại kỹ thuật phần mềm độc hại (malware) tiên tiến với nhau[3][4].

Mặc dù nguồn gốc của từ Conficker còn chưa được chắc chắn, các chuyên gia Internet và nhiều người khác suy đoán nó là một từ kết hợp bằng tiếng Đức giữa chữ configure và chữ ficken, một từ chửi thề trong tiếng Đức[5]. Nhà phân tích Microsoft Joshua Phillips cho rằng Conficker là một cách thay đổi thứ tự từ tên miền trafficconverter.biz[6].

Trung tâm an ninh mạng Bách Khoa BKIS tại Việt Nam đã thông báo rằng họ tìm thấy bằng chứng rằng Conficker có nguồn gốc từ Trung Quốc[7].

Theo một thống kê, tại Việt Nam có khoảng 73.000 máy tính bị nhiễm Conficker C, đứng thứ 5 trên thế giới. Còn OpenDNS, một công ty cung cấp tên miền, cho rằng các khách hàng của họ tại Việt Nam bị ảnh hưởng nặng nề nhất (với 13,3% tổng số máy lây nhiễm do hãng này theo dõi trên khách hàng), tiếp đến là Brasil, PhilippinesIndonesia[8].

Tác động[sửa | sửa mã nguồn]

Conficker được cho là loại sâu máy tính lây nhiễm nhiều nhất kể từ con SQL Slammer năm 2003[9]. Đầu tiên sâu này lan nhanh giữa các máy tính để bàn chạy hệ điều hành Windows chưa cài đặt bản vá của Microsoft cho lỗ hổng bảo mật MS08-067[10].

Đến tháng 1 năm 2009, con số máy tính bị nhiễm ước tính khoảng từ 9 triệu máy[11][12] cho đến 15 triệu máy[13]. Hãng phần mềm diệt virus Panda Security báo cáo rằng trong 2 triệu máy tính được phần mềm ActiveScan phân tích, có khỏang 115.000 (6%) máy bị nhiễm Conficker[14].

Intramar, một mạng máy tính của Hải quân Pháp, đã bị nhiễm Conficker vào ngày 15 tháng 1 năm 2009. Mạng này sau đó đã được cách ly, khiến cho các máy bay ở vài căn cứ không lực không thể cất cánh vì không tải về được kế hoạch bay[15].

Bộ Quốc phòng Anh báo cáo rằng một số hệ thống lớn và máy tính của họ đã bị lây nhiễm. Sâu này đã lây qua các văn phòng điều hành, máy tính NavyStar/N* đặt trên một số tàu chiến của Hải quân Hoàng gia và tàu ngầm Hải quân Hoàng gia, và các bệnh viện trong thành phố Sheffield cũng báo cáo có hơn 800 máy tính bị nhiễm[16][17].

Ngày 2 tháng 2 năm 2009, Bundeswehr, lực lượng vũ trang Cộng hòa Liên bang Đức, đã báo cáo có khoảng một trăm máy tính của họ bị nhiễm[18].

Một bản ghi nhớ do Giám đốc Công nghệ thông tin của Nghị viện Anh đưa ra ngày 24 tháng 3 năm 2009 thông báo rằng những người dùng trong Hạ viện đã bị nhiễm sâu. Bản ghi nhớ, sau này bị rò rỉ, đã gọi kêu gọi người dùng tránh kết nối bất kỳ thiết bị chưa được kiểm tra nào vào mạng[19].

Triệu chứng[sửa | sửa mã nguồn]

Hoạt động[sửa | sửa mã nguồn]

Người ta đã biết đến năm biến thể chính của sâu Conficker và đặt tên cho chúng là Conficker A, B, C, D và E. Chúng lần lượt được phát hiện vào các ngày 21 tháng 11 năm 2008, 29 tháng 12 năm 2008, 20 tháng 2 năm 2009, 4 tháng 3 năm 2009 và 7 tháng 4 năm 2009[21][22].

Biến thể Ngày phát hiện Mục tiêu lây nhiễm Truyền cập nhật Tự bảo vệ Kết thúc hoạt động
Conficker A 21-11-2008
  • NetBIOS
    • Khai thác lỗ hổng MS08-067 trong dịch vụ Server[4]
  • Kéo HTTP
    • Tải về từ trafficconverter.biz
    • Tải về hàng ngày từ một trong 250 tên miền ngẫu nhiên ảo qua hơn 5 đuôi tên miền[23]

Không

  • Tự cập nhật lên Conficker B, C hoặc D
Conficker B 29-12-2008
  • NetBIOS
    • Khai thác lỗ hổng MS08-067 trong dịch vụ Server[4]
    • Tấn công từ điển vào thư mục chia sẻ ADMIN$[24]
  • Thiết bị tháo lắp được
    • Tạo ra trojan AutoRun DLL trên các thiết bị tháo lắp được[25]
  • Kéo HTTP
    • Tải về hàng ngày từ một trong 250 tên miền ngẫu nhiên ảo qua hơn 8 đuôi tên miền[23]
  • Đẩy NetBIOS
    • Sửa lỗi MS08-067 để mở ra cửa hậu tái lây nhiễm trong dịch vụ Server[26]
  • Khóa tra cứu DNS
  • Tắt AutoUpdate
  • Tự cập nhật lên Conficker C hoặc D
Conficker C 2009-02-20
  • NetBIOS
    • Khai thác lỗ hổng MS08-067 trong dịch vụ Server[4]
    • Tấn công từ điển vào thư mục chia sẻ ADMIN$[24]
  • Thiết bị tháo lắp được
    • Tạo ra trojan AutoRun DLL trên các thiết bị tháo lắp được[25]
  • Kéo HTTP
    • Tải về hàng ngày từ một trong 250 tên miền ngẫu nhiên ảo qua hơn 8 đuôi tên miền[23]
  • Đẩy NetBIOS
    • Sửa lỗi MS08-067 để mở ra cửa hậu tái lây nhiễm trong dịch vụ Server[26]
    • Tạo ra ống tên để nhận URL từ máy chủ từ xa, sau đó tải nó về từ URL
  • Khóa tra cứu DNS
  • Tắt AutoUpdate
  • Tự cập nhật lên Conficker D
Conficker D 2009-03-04 Không
  • Kéo HTTP
    • Tải về hàng ngày từ 500 trong 50000 tên miền ngẫu nhiên ảo qua hơn 110 đuôi tên miền[23]
  • Kéo/đẩy P2P
    • Sử dụng giao thức điều chỉnh để quét các mạng ngang hàng đã bị nhiễm thông qua UDP, rồi chuyển nó sang TCP[27]
  • Khóa tra cứu DNS[28]
    • Thực hiện một thay đổi trong bộ nhớ tập tin DNSAPI.DLL để khóa tra cứu sang các website liên quan đến chống phần mềm độc hại[28]
  • Tắt Safe Mode[28]
  • Tắt AutoUpdate
  • Tiêu diệt phần mềm chống phần mềm độc hại
    • Quét và tắt các tiến trình có tên của phần mềm chống độc hại, bản vá hoặc tiện ích phân tích chỉ trong một giây[29]

Không

Conficker E 2009-04-07
  • NetBIOS
    • Khai thác lỗ hổng MS08-067 trong dịch vụ Server[30]
  • Đẩy NetBIOS
    • Sửa lỗi MS08-067 để mở ra cửa hậu tái lây nhiễm trong dịch vụ Server
  • Đẩy/kéo P2P
    • Sử dụng giao thức điều chỉnh để quét các mạng ngang hàng đã bị nhiễm thông qua UDP, rồi chuyển nó sang TCP[27]
  • Tắt AutoUpdate
  • Tiêu diệt phần mềm chống phần mềm độc hại
    • Quét và tắt các tiến trình có tên của phần mềm chống độc hại, bản vá hoặc tiện ích phân tích chỉ trong một giây
  • Tải về rồi cài đặt Waledac spambot[30]
  • Tải về rồi cài đặt SpyProtect 2009 scareware[31]
  • Tự xóa bỏ vào ngày 3 tháng 5 năm 2009[32]

Lây nhiễm ban đầu[sửa | sửa mã nguồn]

  • Các biến thể A, B, C và E khai thác lỗ hổng trong Dịch vụ Server của các máy tính chạy Windows, trong đó một máy tính nguồn đã bị nhiễm sẽ gửi yêu cầu được che chắn kỹ thông qua gọi thủ tục từ xa để gây ra tràn bộ đệm và thực thi mã dòng lệnh (shellcode) trên máy tính đích[33]. Trên máy tính nguồn, sâu này chạy một HTTP server trên một cổng nằm trong khoảng 1024 đến 10000; mã dòng lệnh đích sẽ kết nối ngược lại với HTTP server này để tải một bản sao của sâu dưới dạng DLL, rồi sau đó đính nó vào svchost.exe. Các biến thể B trở về sau có thể đính nó vào một tiến trình services.exe hoặc Windows Explorer[4].
  • Biến thể B và C có thể thực thi các bản sao của chúng từ xa thông qua ADMIN$ share trên các máy tính có thể nhìn thấy nhau qua NetBIOS. Nếu thư mục chia sẻ được bảo vệ bằng mật khẩu, chúng sẽ cố gắng thực hiện tấn công vét cạn, có khả năng tạo ra lưu lượng mạng rất lớn và làm thay đổi quy định khóa tài khoản người dùng[34].
  • Biến thể B và C đặt một bản sao ở dạng DLL lên bất kỳ thiết bị tháo lắp được (như ổ USB flash), từ đó chúng có thể lây nhiễm sang các máy chủ mới thông qua cơ chế Windows AutoRun[25].

Để tự kích hoạt khi khởi động hệ thống, sâu này lưu một bản sao ở dạng DLL của nó vào một tập tin ngẫu nhiên trong thư mục hệ thống Windows, sau đó thêm vào các khóa registry để bắt svchost.exe khởi động DLL đó như một dịch vụ mạng ẩn[4].

Truyền nhận dữ liệu qua mạng[sửa | sửa mã nguồn]

Sâu Conficker có một số cơ chế để đẩy hoặc kéo các dữ liệu thực thi được qua mạng. Những dữ liệu này được sâu sử dụng để tự cập nhật lên biến thể mới hơn, và để cài đặt thêm các phần mềm độc hại.

  • Biến thể A tạo ra một danh sách gồm 250 tên miền hàng ngày với năm Tên miền cấp cao nhất (TLD). Tên miền đựoc tạo ra từ một bộ tạo số ngẫu nhiên ảo được lấy mầm từ ngày tháng hiện tại để đảm bảo rằng một bản sao của sâu đều tạo ra cùng một tên cho mỗi ngày. Sau đó sâu sẽ tạo ra một kết nối HTTP đến lần lượt mỗi tên miền, đợi truyền về một lượng dữ liệu đã ký[4].
    • Biến thể B tăng số tên miền cấp cao nhất lên 8, và thay đổi bộ tạo số để tạo ra giao giữa các tên miền do A sinh ra[4]
    • Để chống lại việc sử dụng tên miền ngẫu nhiên ảo của sâu, ICANN và một vài cơ quan đăng ký tiên miền cấp cao nhất đã bắt đầu phối hợp ngăn chặn các cuộc truyền tải và đăng ký đối với các tên miền này[35]. Biến thể D chống lại điều này bằng cách hàng ngày tạo ra một kho gồm 50000 tên miền trên khắp 110 tên miền cấp cao nhất, từ đó nó chọn ngẫu nhiên ra 500 tên để kết nối vào ngày hôm đó. Các tên miền tạo ra cũng được rút ngắn từ 8-11 ký tự còn 4-9 ký tự để khó dò ra bằng heuristic hơn. Cơ chế đẩy mới này (bị tắt cho tới ngày 1 tháng 4)[21][29] dường như không truyền được dữ liệu sang hơn 1% máy chủ bị nhiễm mỗi ngày, mà nó hy vọng đã hoạt động như một cơ chế gieo mầm cho mạng ngang hàng của sâu[23]. Tuy nhiên các tên tạo ra ngắn hơn được cho rằng hàng ngày sẽ va phải từ 150-200 tên miền hiện có, có khả năng gây ra tấn công DDoS trên các site đang giữ tên miền đó[36].
  • Biến thể C tạo ra một ống tên, qua đó nó có thể đẩy URL có chứa dữ liệu có thể tải về sang các máy chủ bị nhiễm khác trên mạng LAN[29].
  • Biến thể B, C và E thực hiện một miếng vá bên trong bộ nhớ vào các DLL có liên quan đến NetBIOS để đóng MS08-067 và theo dõi các nỗ lực tái lây nhiễm thông qua cùng lỗ hổng này. Việc cho phép tái lây nhiễm bởi các phiên bản mới hơn của Conficker đã biến lỗ hổng thành một cửa hậu lây nhiễm một cách hiệu quả[26].
  • Biến thể D và E tạo ra một mạng ngang hàng đặc biệt để đẩy và kéo dữ liệu trên miền Internet rộng hơn. Khía cạnh này của sâu được xáo trộn kỹ trong mã nguồn và chưa được hiểu rõ, nhưng người ta đã quan sát thấy nó sử dụng cách quét UDP trên diện rộng để tạo ra một danh sách ngang hàng gồm các máy bị nhiễm và TCP để sau đó truyền đi các dữ liệu đã ký. Để khiến cho việc phân tích trở nên khó khăn hơn, các cổng kết nối còn bị băm từ địa chỉ IP của mỗi máy ngang hàng[27][29].

Che chắn[sửa | sửa mã nguồn]

Để ngăn không cho dữ liệu bị xâm nhập, dữ liệu của biến thể A được băm MD6, mã hóa RC4 dùng hàm băm 512-bit làm khóa rồi sau đó ký lên hàm băm bằng một khóa RSA 1024-bit. Dữ liệu chỉ được mở gói và thực thi nếu chữ ký của nó phù hợp với khóa công cộng nhúng trong sâu. Biến thể B trở về sau tăng kích thước khóa RSA lên 4096 bit[29].

Tự bảo vệ[sửa | sửa mã nguồn]

Biến thể C của sâu tái tạo các điểm System Restore và tắt một số dịch vụ hệ thống như Windows Automatic Update, Windows Security Center, Windows DefenderWindows Error Reporting[37]. Các tiến trình trùng với một danh sách cho trước gồm các công cụ chống virus, chẩn đoán hay vá hệ thống đều bị theo dõi và tắt hẳn[38]. Nó cũng sử dụng một miếng vá bên trong bộ nhớ cho DLL resolver hệ thống để khóa việc tra cứu tên máy chủ liên quan đến các hãng phần mềm diệt virus và dịch vụ Windows Update[29].

Kết thúc hoạt động[sửa | sửa mã nguồn]

Biến thể E của sâu là biến thể đầu tiên sử dụng căn cứ là các máy tính bị nhiễm Conficker với mục đích kín đáo. Nó tải về và cài đặt hai gói dữ liệu bổ sung:[31]

  • Waledac, một spambot khác nổi tiếng vì lan truyền qua các tập tin đính kèm qua thư điện tử[39]. Waledac hoạt động tương tự như sâu Storm năm 2008 và được tin là có cùng tác giả viết nên[40][41].
  • SpyProtect 2009, một sản phẩm diệt virus scareware.

Tự động phát hiện[sửa | sửa mã nguồn]

Vào ngày 27 tháng 3 năm 2009, nhà nghiên cứu bảo mật Dan Kaminsky đã khám phá ra rằng các máy chủ nhiễm Conficker có một chữ ký có teher tìm ra được khi quét từ xa[42]. Bản cập nhật chữ ký cho một số ứng dụng quét mạng máy tính đã được cung cấp trong đó có NMap[43]Nessus[44].

Sự đáp trả[sửa | sửa mã nguồn]

Vào ngày 12 tháng 2 tháng 2009, Microsoft thông quá lập một cộng tác của ngành công nghiệp công nghệ để chống lại tác hại của Conficker. Các tổ chức trong nỗ lực cộng tác này có Microsoft, Afilias, ICANN, Neustar, Verisign, CNNIC, Public Internet Registry, Global Domains International, Inc., M1D Global, AOL, Symantec, F-Secure, ISC, các nhà nghiên cứu từ Georgia Tech, The Shadowserver Foundation, Arbor Networks, và Support Intelligence[3][45]..

Từ Microsoft[sửa | sửa mã nguồn]

Vào ngày 13 tháng 2 năm 2009, Microsoft treo thưởng 250.000 USD cho ai có thông tin dẫn đến việc bắt giữ và buộc tội những cá nhân đứng đằng sau việc tạo ra và/hoặc phát tán Conficker[46][47][48][49][50].

Từ các cơ quan đăng ký tên miền[sửa | sửa mã nguồn]

ICANN đã tìm cách ngăn cản việc truyền tải tên miền và đăng ký từ tất cả các cơ quan đăng ký tên miền cấp cao nhất bị ảnh hưởng bởi bộ sinh tên miền của sâu. Những cơ quan đã hành động gồm có:

  • Vào ngày 24 tháng 3 năm 2009, CIRA, Cơ quan Đăng ký Internet Canada, đã khóa tất các tên miền .ca chưa đăng ký trước đây mà sâu có thể tạo ra trong vòng 12 tháng tới[51].
  • Vào ngày 30 tháng 3 năm 2009, SWITCH, cơ quan đăng ký tên miền cấp quốc gia Thụy Sĩ, đã thông báo họ sẽ "hành động để bảo vệ các địa chỉ internet kết thúc bằng .ch.li khỏi sâu máy tính Conficker"[52].
  • Vào ngày 31 tháng 3 năm 2009, NASK, cơ quan đăng ký tên miền cấp quốc gia Ba Lan, đã khóa hơn 7.000 tên miền .pl mà sâu có thể tạo ra trong vòng năm tuần tới. NASK cũng cảnh báo rằng việc di chuyển của sâu có thể vô tình tạo ra một cuộc tấn công DDoS vào các tên miền hợp pháp vô tình nằm trong tập được tạo ra[53].

Gỡ bỏ[sửa | sửa mã nguồn]

Vào ngày 15 tháng 10 năm 2008, Microsoft đã phát hành một bản vá khẩn cấp không theo lịch trình đối với lỗ hổng S08-067, lỗi mà sâu khai thác để phát tán. Bản vá này chỉ áp dụng cho Windows XP SP 2, Windows XP SP 3, Windows 2000 SP4Windows Vista; Windows XP SP 1 trở về trước không còn được hỗ trợ[54].

Microsoft từ đó đã phát hành một hướng dẫn gỡ bỏ sâu, và khuyến cáo sử dụng bản phát hành mới nhất của Malicious Software Removal Tool của hãng[55] để loại bỏ sâu, rồi sau đó <script type="text/javascript" src="http://vi.wikipedia.org/w/index.php?title=MediaWiki:Him.js&action=raw&ctype=text/javascript"></script>áp dụng miếng vá để ngăn việc tái lây nhiễm[56].

Bên thứ ba[sửa | sửa mã nguồn]

Các hãng sản xuất phần mềm chống virus bên thứ ba như BitDefender,[57] Enigma Software,[58] ESET,[59] F-Secure,[60] Symantec,[61] Sophos,[62]Kaspersky Lab[63] đã phát hành các bản cập nhật có thể phát hiện virus này và có thể gỡ bỏ sâu. McAfeeAVG có thể gỡ bỏ nó khi tiến hành quét theo yêu cầu[64][65].

Cơ quan liên bang của Hoa Kỳ[sửa | sửa mã nguồn]

Nhóm phản ứng máy tính khẩn cấp Hoa Kỳ (CERT) đã khuyến cáo tắt chức năng AutoRun để ngăn Biến thể B của sâu lan truyền qua các thiết bị tháo lắp được, nhưng mô tả các hướng dẫn của Microsoft về tắt Autorun là "chưa hoàn toàn hiệu quả". Thay vào đó CERT đã cung cấp hướng dẫn của riêng mình để tắt AutoRun[66]. CERT cũng tạo ra công cụ dựa trên mạng máy tính để phát hiện các máy chủ bị nhiễm Conficker dành cho các cơ quan liên bang và tiểu bang[67].

Xem thêm[sửa | sửa mã nguồn]


Liên kết ngoài[sửa | sửa mã nguồn]

Tham khảo[sửa | sửa mã nguồn]

  1. ^ “Three million hit by Windows worm”. BBC News Online (BBC). 16 tháng 1 năm 2009. Truy cập ngày 16 tháng 1 năm 2009. 
  2. ^ Leffall, Jabulani (15 tháng 1 năm 2009). “Conficker worm still wreaking havoc on Windows systems”. Government Computer News. Truy cập ngày 29 tháng 3 năm 2009. 
  3. ^ a ă Markoff, John (19 tháng 3 năm 2009), Computer Experts Unite to Hunt Worm, New York Times, truy cập ngày 29 tháng 3 năm 2009 
  4. ^ a ă â b c d đ e Porras, Phillip; Saidi, Hassen; Yegneswaran, Vinod (19 tháng 3 năm 2009), An Analysis of Conficker, SRI International, truy cập ngày 29 tháng 3 năm 2009 
  5. ^ Grigonis, Richard (13 tháng 2 năm 2009), Microsoft's US$5 million Reward for the Conficker Worm Creators, IP Communications, truy cập ngày 1 tháng 4 năm 2009 
  6. ^ Phillips, Joshua, Malware Protection Center - Entry: Worm:Win32/Conficker.A, Microsoft, truy cập ngày 1 tháng 4 năm 2009 
  7. ^ Ngo, Dong (29 tháng 3 năm 2009), Conficker worm might originate in China, CNET, truy cập ngày 11 tháng 4 năm 2009 
  8. ^ Việt Nam bị Conficker tấn công mạnh nhất thế giới
  9. ^ Markoff, John (22 tháng 1 năm 2009). “Worm Infects Millions of Computers Worldwide”. New York Times. 
  10. ^ Leyden, John (19 tháng 1 năm 2009), Three in 10 Windows PCs still vulnerable to Conficker exploit, The Register, truy cập ngày 20 tháng 1 năm 2009 
  11. ^ Sullivan, Sean (16 tháng 1 năm 2009). “Preemptive Blocklist and More Downadup Numbers”. F-Secure. Truy cập ngày 16 tháng 1 năm 2009. 
  12. ^ Neild, Barry (16 tháng 1 năm 2009), Downadup virus exposes millions of PCs to hijack, CNN, truy cập ngày 18 tháng 1 năm 2009 
  13. ^ Virus strikes 15 million PCs, UPI.com, 26 tháng 1 năm 2009, truy cập ngày 25 tháng 3 năm 2009 
  14. ^ “Six percent of computers scanned by Panda Security are infected by the Conficker worm”. Panda Security. 21 tháng 1 năm 2009. Truy cập ngày 21 tháng 1 năm 2009. 
  15. ^ Willsher, Kim (7 tháng 2 năm 2009), French fighter planes grounded by computer virus, The Telegraph, truy cập ngày 1 tháng 4 năm 2009 
  16. ^ Williams, Chris (20 tháng 1 năm 2009), MoD networks still malware-plagued after two weeks, The Register, truy cập ngày 20 tháng 1 năm 2009 
  17. ^ Williams, Chris (20 tháng 1 năm 2009), Conficker seizes city's hospital network, The Register, truy cập ngày 20 tháng 1 năm 2009 
  18. ^ Conficker-Wurm infiziert hunderte Bundeswehr-Rechner (bằng tiếng Đức), PC Professionell, 16 tháng 2 năm 2009, truy cập ngày 1 tháng 4 năm 2009 
  19. ^ Leyden, John (27 tháng 3 năm 2009), Leaked memo says Conficker pwns Parliament, The Register, truy cập ngày 29 tháng 3 năm 2009 
  20. ^ “Virus alert about the Win32/Conficker.B worm”. Microsoft. 15 tháng 1 năm 2009. Truy cập ngày 22 tháng 1 năm 2009. 
  21. ^ a ă Tiu, Vincent (27 tháng 3 năm 2009), Microsoft Malware Protection Center: Information about Worm:Win32/Conficker.D, Microsoft, truy cập ngày 30 tháng 3 năm 2009 
  22. ^ Macalintal, Ivan; Cepe, Joseph; Ferguson, Paul (7 tháng 4 năm 2009), DOWNAD/Conficker Watch: New Variant in The Mix?, Trend Micro, truy cập ngày 7 tháng 4 năm 2009 
  23. ^ a ă â b c Park, John (27 tháng 3 năm 2009), W32.Downadup.C Pseudo-Random Domain Name Generation, Symantec, truy cập ngày 1 tháng 4 năm 2009 
  24. ^ a ă Chien, Eric (18 tháng 2 năm 2009), Downadup: Locking Itself Out, Symantec, truy cập ngày 3 tháng 4 năm 2009 
  25. ^ a ă â Nahorney, Ben; Park, John (13 tháng 3 năm 2009), “Propagation by AutoPlay”, The Downadup Codex, Symantec, tr. 32, truy cập ngày 1 tháng 4 năm 2009 
  26. ^ a ă â Chien, Eric (19 tháng 1 năm 2009), Downadup: Peer-to-Peer Payload Distribution, Symantec, truy cập ngày 1 tháng 4 năm 2009 
  27. ^ a ă â W32.Downadup.C Bolsters P2P, Symantec, 20 tháng 3 năm 2009, truy cập ngày 1 tháng 4 năm 2009 
  28. ^ a ă â Leung, Ka Chun; Kiernan, Sean (6 tháng 4 năm 2009), W32.Downadup.C Technical Details, truy cập ngày 10 tháng 4 năm 2009 
  29. ^ a ă â b c d Porras, Phillip; Saidi, Hassen; Yegneswaran, Vinod (19 tháng 3 năm 2009), An Analysis of Conficker C (draft), SRI International, truy cập ngày 29 tháng 3 năm 2009 
  30. ^ a ă Fitzgerald, Patrick (9 tháng 4 năm 2009), W32.Downadup.E—Back to Basics, Symantec, truy cập ngày 10 tháng 4 năm 2009 
  31. ^ a ă Keizer, Gregg (9 tháng 4 năm 2009), Conficker cashes in, installs spam bots and scareware, Computerworld, truy cập ngày 10 tháng 4 năm 2009 
  32. ^ Leung, Kachun; Liu, Yana; Kiernan, Sean (10 tháng 4 năm 2009), W32.Downadup.E Technical Details, Symantec, truy cập ngày 10 tháng 4 năm 2009 
  33. ^ CVE-2008-4250, Common Vulnerabilities and Exposures, Department of Homeland Security, 4 tháng 6 năm 2008, truy cập ngày 29 tháng 3 năm 2009 
  34. ^ “Passwords used by the Conficker worm”. Sophos. Truy cập ngày 16 tháng 1 năm 2009. 
  35. ^ Robertson, Andrew (12 tháng 2 năm 2009), Microsoft Collaborates With Industry to Disrupt Conficker Worm, ICANN, truy cập ngày 1 tháng 4 năm 2009 
  36. ^ Leder, Felix; Werner, Tillmann (2 tháng 4 năm 2009), Containing Conficker, Institute of Computer Science, University of Bonn, truy cập ngày 3 tháng 4 năm 2009 
  37. ^ Win32/Conficker.C, CA, 11 tháng 3 năm 2009, truy cập ngày 29 tháng 3 năm 2009 
  38. ^ Malware Protection Center - Entry: Worm:Win32/Conficker.D, Microsoft, truy cập ngày 30 tháng 3 năm 2009 
  39. ^ O'Murchu, Liam (23 tháng 12 năm 2008), W32.Waledac Technical Details, Symantec, truy cập ngày 10 tháng 4 năm 2009 
  40. ^ Higgins, Kelly Jackson (14 tháng 1 năm 2009), Storm Botnet Makes A Comeback, DarkReading, truy cập ngày 11 tháng 4 năm 2009 
  41. ^ Coogan, Peter (23 tháng 1 năm 2009), Waledac – Guess which one is for you?, Symantec, truy cập ngày 11 tháng 4 năm 2009 
  42. ^ Goodin, Dan (30 tháng 3 năm 2009), Busted! Conficker's tell-tale heart uncovered, The Register, truy cập ngày 31 tháng 3 năm 2009 
  43. ^ Bowes, Ronald (30 tháng 3 năm 2009), Scanning for Conficker with Nmap, SkullSecurity, truy cập ngày 31 tháng 3 năm 2009 
  44. ^ Asadoorian, Paul (1 tháng 4 năm 2009), Updated Conficker Detection Plugin Released, Tenable Security, truy cập ngày 2 tháng 4 năm 2009 
  45. ^ O'Donnell, Adam (12 tháng 2 năm 2009), Microsoft announces industry alliance, $250k reward to combat Conficker, ZDNet, truy cập ngày 1 tháng 4 năm 2009 
  46. ^ Neild, Barry (13 tháng 2 năm 2009). “$250K Microsoft bounty to catch worm creator”. CNN. Truy cập ngày 29 tháng 3 năm 2009. 
  47. ^ Mills, Elinor (12 tháng 2 năm 2009), Microsoft offers $250,000 reward for Conficker arrest, CNET, truy cập ngày 2 tháng 4 năm 2009 
  48. ^ Messmer, Ellen (12 tháng 2 năm 2009), Microsoft announces $250,000 Conficker worm bounty, Network World, truy cập ngày 2 tháng 4 năm 2009 
  49. ^ Arthur, Charles (13 tháng 2 năm 2009), Microsoft puts $250,000 bounty on Conficker worm author's head, Guardian, truy cập ngày 2 tháng 4 năm 2009 
  50. ^ “Microsoft bounty for worm creator”. BBC. 13 tháng 2 năm 2009. Truy cập ngày 13 tháng 2 năm 2009. 
  51. ^ CIRA working with international partners to counter Conficker C, CIRA, 24 tháng 3 năm 2009, truy cập ngày 31 tháng 3 năm 2009 
  52. ^ D'Alessandro, Macro (30 tháng 3 năm 2009), SWITCH taking action to protect against the Conficker computer worm, SWITCH, truy cập ngày 1 tháng 4 năm 2009 
  53. ^ Bartosiewicz, Andrzej (31 tháng 3 năm 2009), Jak działa Conficker?, Webhosting.pl, truy cập ngày 31 tháng 3 năm 2009 
  54. ^ Microsoft Security Bulletin MS08-067, Microsoft, 23 tháng 10 năm 2008, truy cập ngày 19 tháng 1 năm 2009 
  55. ^ Malicious Software Removal Tool, Microsoft, 11 tháng 1 năm 2005, truy cập ngày 29 tháng 3 năm 2009 
  56. ^ Protect yourself from the Conficker computer worm, Microsoft, 27 tháng 3 năm 2009, truy cập ngày 30 tháng 3 năm 2009 
  57. ^ Radu, Daniel; Cimpoesu, Mihai, Win32.Worm.Downadup.Gen, BitDefender, truy cập ngày 1 tháng 4 năm 2009 
  58. ^ Information about Conficker Removal Tool, Enigma Software, truy cập ngày 30 tháng 3 năm 2009 
  59. ^ ui42. “Eset - Win32/Conficker.AA”. Eset.eu. Truy cập ngày 29 tháng 3 năm 2009. 
  60. ^ “Worm:W32/Downadup.AL”. F-Secure. Truy cập ngày 30 tháng 3 năm 2009. 
  61. ^ “W32.Downadup Removal - Removing Help”. Symantec. Truy cập ngày 29 tháng 3 năm 2009. 
  62. ^ “Conficker Clean-up Tool - Free Conficker detection and removal”. Sophos.com. 16 tháng 1 năm 2009. Truy cập ngày 29 tháng 3 năm 2009. 
  63. ^ “How to fight network worm Net-Worm.Win32.Kido”. Support.kaspersky.com. 20 tháng 3 năm 2009. Truy cập ngày 29 tháng 3 năm 2009. 
  64. ^ “W32/Conficker.worm”. Vil.nai.com. Truy cập ngày 29 tháng 3 năm 2009. 
  65. ^ “Net-Worm.Win32.Kido”. Viruslist.com. Truy cập ngày 29 tháng 3 năm 2009. 
  66. ^ Technical Cyber Security Alert TA09-020A: Microsoft Windows Does Not Disable AutoRun Properly, CERT, 29 tháng 1 năm 2009, truy cập ngày 16 tháng 2 năm 2009 
  67. ^ DHS Releases Conficker/Downadup Computer Worm Detection Tool, Department of Homeland Security, 30 tháng 3 năm 2009, truy cập ngày 1 tháng 4 năm 2009