Miễn là máy tính đó chưa cập nhật bản vá lỗi dành cho Windows XP hoặc Vista, hoặc không sử dụng chương trình bảo mật Internet Security và Antivirus có thể phát hiện được Conficker, là những cơ hội thuận lợi để loại sâu này lây lan vào hệ thống. Cái tên Conficker đã trở nên quen thuộc tới mức nhiều người nghĩ rằng nó đã là quá khứ, cho tới khi tác giả bài viết gặp phải 1 biến thể của nó – tác giả hiện đang thuê 1 hệ thống máy chủ dedicated đặt ở Malaysia, tại trung tâm dữ liệu TM Datacenter, hệ thống webhost sử dụng hệ điều hành Windows Server 2008 R2. Do nhu cầu không cần sử dụng đến hệ điều hành mới này, nên tác giả đã yêu cầu bộ phận kỹ thuật thay đổi về phiên bản Windows XP.

Sau khi bộ phận kỹ thuật bàn giao tài khoản cho tác giả, và ông ấy tương tác với hệ thống này qua chức năng Remote Desktop Connection. Việc đầu tiên cần làm là tiến hành cập nhật ngay lập tức các bản vá lỗi (hotfixes và service pack) trực tiếp từ Microsoft. Ông mở trình duyệt Internet Explorer và địa chỉ mặc định là trang chủ Microsoft không thể tải được, vấn đề tương tự cũng xảy ra khi tác giả truy cập vào trang Windows Update. Nhưng thử lại với Google.com thì không có vấn đề gì. Ngay lập tức, tác giả nghĩ đến trường hợp file HOSTS bị hỏng. Nhưng sau khi tiến hành kiểm tra, ông không phát hiện vấn đề gì với file HOSTS này. Trường hợp tiếp theo có thể do thông số DNS server có thể chuyển tên miền về dải địa chỉ IP, sau khi thay bằng Google DNS server thì mọi thứ vẫn không tiến triển.

Với kinh nghiệm của mình, ông suy đoán rằng có thể hệ thống đã bị nhiễm 1 loại virus hoặc worm nào đó, tiến hành tìm kiếm giải pháp trên trang bảo mật Symantec, và mọi triệu chứng đều dẫn đến thủ phạm Conficker. Chúng đã thay đổi, thông minh tới mức có thể lây nhiễm vào hệ thống Windows XP (chưa được vá lỗi) tự động mà không cần có sự tương tác của người sử dụng.

Thật may mắn, cách khắc phục khá đơn giản, tất cả những gì phải làm là tạm thời tắt bỏ dịch vụ dnscache, qua đó có thể truy cập vào các trang web bảo mật và tải công cụ Conficker Removal Tool. Sau khi loại bỏ được Conficker, ông có thể tiến hành cập nhật Windows để đảm bảo an ninh hệ thống.

Để dừng dịch vụ dnscache: Start Menu → Run → net stop dnscache và nhấn Enter

Tải công cụ Conficker Removal Tool tại đây.

Tiến hành cập nhật Windows tại đây.

Sâu conficker được phát hiện lại vào khoảng 4 tháng trước đây, và hiện tại nó vẫn đang hoạt động tại trung tâm dữ liệu TM Datacenter. Sau đó, tác giả đã nhắc nhở những người quản trị hệ thống tại đây khi đã để loại sâu độc hại này lây lan dễ dàng như vậy mà không có biện pháp triệt để hoặc tối ưu nào dành cho khách hàng. Những người sử dụng Windows XP hoặc Vista được khuyến cáo sử dụng các công cụ tiêu diệt Conficker như trên, đồng thời tiến hành cập nhật các bản hotfix hoặc service pack mới nhất để đảm bảo an toàn.

Theo QuanTriMang