O malware Conficker, também conhecido como Kido ou W32.Downadup, que explora uma falha crítica no Windows, é uma das pragas digitais com maior capacidade de proliferação dos últimos anos, declarou a Symantec em nota oficial. Segundo a F-Secure, a praga já se disseminou para mais de 15 milhões de máquinas pelo mundo - e a estimativa ainda é considerada conservadora.
Computadores contaminados com o verme Conficker estão recebendo uma nova variante da praga digital. O objetivo é impedir que os antivírus e ferramentas de remoção de software malicioso consigam eliminar o Conficker das máquinas já contaminadas.
De acordo com Vincent Weafer, vice-presidente de Pesquisa da Symantec, o Conficker.c é o primeiro vírus que recebe novas “ordens” de seus criadores, que estão bastante interessados em manter o controle dos computadores contaminados.
Segundo o pesquisador, a nova variante consegue se comunicar com 50 mil endereços de internet diferentes e obter novas instruções a partir desses sites. As primeiras versões do vírus se comunicavam com “apenas” 250 sites - um número bem mais fácil de ser administrado pelos fabricantes de antivírus e especialistas de segurança em geral. A Microsoft ofereceu uma recompensa de U$ 250.000,00 para quem der pistas dos autores do Worm.
O worm explora uma falha do serviço Windows Server, usado para conexões em rede. Dessa forma, seria possível enviar mensagens maliciosas às máquinas e controlar o computador da vítima, usando a tática de força bruta para descobrir as senhas no computador que sofre o ataque.
Algumas ocorrências de contaminação pelo Worm "Win32/Conficker.B" estão sendo detectadas no Brasil, este “Worm” infecta computadores explorando uma vulnerabilidade no “Windows Server Service” (SVCHOST.EXE) que já foi corrigida em 23 de outubro de 2008 através do boletim MS08-067 (http://www.microsoft.com/brasil/technet/security/bulletin/MS08-067.mspx). Este “Worm” pode permitir execução remota de código quando o compartilhamento de arquivos estiver habilitado. Ele pode também replicar-se via drivers removíveis e senhas “fracas” com privilégio administrativo. Pode também desabilitar serviços importantes do sistema e de produtos de segurança.
A principal recomendação é manter as estações atualizadas, para isso utilize o Windows Update, ou WSUS, ou SMS, ou através de sua solução de Patch Management. Também mantenha o seu antivírus atualizado com a última versão disponível.
O “Win32/Conficker.B” também pode ser identificado como:
TA08-297A (other)
CVE-2008-4250 (other)
VU827267 (other)
Win32/Conficker.A (CA)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Além da vulnerabilidade MS08-067 o Win32/Conficker.B também se propaga através de compartihamentos de rede, e a Microsoft também recomenda que as organizações evitem usar senhas fracas e previsíveis para os seus usuários. A descrição do Win32/Conficker.B no Malware Protection Center da Microsoft contém a lista de senhas que as variantes conhecidas utilizam para acessar os compartilhamentos de rede e mais informações sobre este malware.
Sintomas do Ataques
O Vírus Conficker bloqueia o site de AntiVírus, dificulta a detecção de um vírus legitimo svchost.exe, cria o arquivo autorun.inf na Raiz da Unidade C:\
Como o nome randômico nomerandomico.dll e nomerandomico.vmx em todos os drivers e unidades removíveis como pendrive, mp3, mp4, mp5, mp6, mp7, câmera digital, cartões de memória e se tiver acessas nas pastas compartilhadas na rede.
Desativa a Atualização Automática impedindo que seja feito as correções fornecidas pelas Microsoft referente as Vulnerabilidades encontradas.
Em muitos casos o usuário é obrigado a criar uma nova conta que acaba sendo infectada.
O vírus Conficker ou Downadup faz com que ocorra falhas nas execução de programas e cria pastas bloqueadas sem que o usuário tenha digitado um único comando.
Como funciona o Ataque
A partir da criação da lista de domínio o Vírus faz a distribuição de várias cópias para iniciar o ataque, vejamos o exemplo abaixo.
Domínio curioso.net que tem o IP ficticio 200.147.65.1
A partir do endereço 200.147.65.1 o vírus percorre a lista para efetuar o ataque até o IP 200.147.65.255, com isso todos os computadores que possuem endereço IP que foram atribuídos poderão ser das vítimas para o ataque.
Como identificar maquinas infectadas por este malware em sua rede
Caso você seja administrador de rede, é possível identificar máquinas infectadas pelo Conficker através dos seguintes procedimentos:
Atente para o aumento anormal do tráfego de rede em conexões HTTP (80/TCP), pois o Conficker utiliza este tipo de conexão para receber instruções;
Redes locais com compartilhamento de diretórios provavelmente estarão mais lentas, dada a ação do Conficker na rede local;
Configure em seu firewall ou proxy regras que registrem o acesso a URLs acessadas pelo Conficker. Listas atualizadas constantemente com as URLs que o malware tem acessado estão disponíveis em: Noms de domaine de Conficker / Downadup A et B et remarque surl'Autorun http://cert.lexsi.com/weblog/index.php/2009/02/06/276-noms-de-domaine-de-conficker-downadup-a-et-b
Configure em seu firewall ou proxy regras que registrem as seguintes requisições HTTP, muito provavelmente realizadas pelo Conficker.
GET http://[IP]/search ?q=0 HTTP/1.0"
GET http://[IP]/search ?q=1 HTTP/1.0"
GET http://[IP]/search ?q=n+1 HTTP/1.0"
A Microsoft recomenda que o sistema operacional e o antivírus estejam atualizados. E pede atenção especial a instalação dos patchs de correção lançados especificamente para este worm, que podem ser baixados do Windows update ou do site http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx.
No caso de má quinas ligadas a redes, é imprescindível que todas elas tenham o patch instaldo, o que pode ser feito via GPO (no caso de domínio baseados em Active Directory) ou WSUS.
Ferramenta de proteção da Symantec:
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe
Posted via email from Dicas, idéias, novidades e o que pintar...
Postagens
