Ver Feed RSS

lucianogf

Como identificar e remover o malware Conficker (Downadup ou Kido)

Avaliação: 3 votos, 4,67 média.
6 Comentários
por
lucianogf
em 17-02-2009 às 13:37 (37167 Visualizações)
Pessoal, sempre recebo alertas do CAIS e ontem recebi este e-mail de como identificar e remover este malware, segue o e-mail na integra para todos os interessados.

valeu

Prezados,

o CAIS gostaria de alertar sobre o aumento no numero de incidentes
decorrentes da atividade do malware Conficker, tambem conhecido como
Downadup ou Kido, que segundo algumas fontes[1] ja infectou mais de 12
milhoes de sistemas ao redor do mundo. Este alerta visa orientar sobre o
funcionamento do malware Conficker e sobre como remove-lo.


. Como o Conficker infecta os sistemas:

O malware infecta sistemas Windows e se propaga atraves de tres vetores
principais:

1. Explorando uma vulnerabilidade no servico "Servidor" do Windows
(SVCHOST.EXE - TCP/445), cuja falha ja foi corrigida pelo alerta
MS08-067[2] da Microsoft
2. Executa ataques de força bruta contra redes compartilhadas,
tantando adivinhar a senha de acesso do administrador
3. Infecta dispositivos removiveis normalmente utilizados em diversos
computadores(pen drives, cartoes de memoria USB, etc)


. Principais acoes do Conficker no sistema:

Ao infectar um computador, o malware acessa diversas URLs na Internet em
busca de comandos a serem executados na máquina invadida (por exemplo,
roubar informacoes pessoais, enviar spams, fazer o download de outros
arquivos maliciosos, etc). Ele tambem desliga o Windows Defender e as
atualizacoes automaticas do Windows (Windows Update Service), alem de nao
permitir que o usuario do sistema acesse certas paginas de Internet que
contenham palavras como virus, malware, windowsupdate, entre outras.


. Como identificar maquinas infectadas por este malware em sua rede:

Caso voce seja adminstrador de rede, e' possivel identificar maquinas
infectadas pelo Conficker atraves dos seguintes procedimentos:

. Atente para o aumento anormal do trafego de rede em conexoes HTTP
(80/TCP), pois o Conficker utiliza este tipo de conexao para receber
instrucoes.

. Redes locais com compartilhamento de diretorios provavelmente estarao
mais lentas, dada a acao do Conficker na rede local.

. Configure em seu firewall ou proxy regras que registrem o acesso a
URLs acessadas pelo Conficker. Listas atualizadas constantemente com as
URLs que o malware tem acessado estao disponiveis em:

. Noms de domaine de Conficker / Downadup A et B et remarque surl'Autorun
Noms de domaine de Conficker / Downadup A et B et remarque sur l'Autorun - CERT-LEXSI Weblog

. Configure em seu firewall ou proxy regras que registrem as
seguintes requisicoes HTTP, muito provavelmente realizadas pelo
Conficker:

GET http://[IP]/search ?q=0 HTTP/1.0"
GET http://[IP]/search ?q=1 HTTP/1.0"
GET http://[IP]/search ?q=n+1 HTTP/1.0"


. Como remover o malware:

Para remover o Conficker do sistema, pode-se utilizar alguma das seguintes
ferramentas:

. Windows Malicious Software Removal Tool
http://www.microsoft.com/security/ma...e/default.mspx

. Ferramenta de remocao da F-secure (fabricante de anti-virus)
ftp://ftp.f-secure.com/anti-virus/to...f-downadup.zip

. McAfee Avert Stinger
McAfee Threat Center

. Ferramenta de remocao da BitDefender (fabricante de anti-virus)
http://www.bitdefender.com/site/Down...reeRemovalTool

. Ferramenta de remocao da Kaspersky (fabricante de anti-virus)
http://data2.kaspersky-labs.com:8080...iller_v3.1.zip

IMPORTANTE: Apos remover o malware, certifique-se que:
. Seu sistema possui a correcao MS08-067 [2] instalada;
. Seu sistema, anti-virus e firewall estao atualizados e em funcionamento;
. A senha do administrador da rede local é uma senha forte contendo pelo
menos 6 caracteres, incluindo letras, numeros e caracteres especiais (@,
$, !, etc).


Mais informacoes:

. Two Weeks of Conficker Data and 12 Million Nodes [1]
Two Weeks of Conficker Data and 12 Million Nodes | Security to the Core | Arbor Networks Security

. Microsoft Security Bulletin MS08-067 [2]
Microsoft Security Bulletin MS08-067 – Critical: Vulnerability in Server Service Could Allow Remote Code Execution (958644)

. CAIS-Alerta: Vulnerabilidade Crítica no Microsoft Windows
Microsoft Security Bulletin MS08-067
Vulnerabilidade Crítica no Microsoft Windows

. Alerta de vírus sobre o worm Win32/Conficker.B
Alerta de vírus sobre o worm Win32/Conficker.B

. Microsoft Malware Protection Center
Malware Protection Center - Entry: Win32/Conficker

. Blog Microsoft Malware Protection Center
Microsoft Malware Protection Center : MSRT Released Today Addressing Conficker and Banload

. ISC SANS Handler's Diary: Third party information on conficker
SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc


Atenciosamente,

################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
################################################################

Atualizado 17-02-2009 em 13:39 por lucianogf

Categorias
Noticias

Comentários

  1. Avatar de Não Registrado
    Amigo, os computadores infectados não conseguem acessar os sites fornecidos. Como podemos baixar a ferramenta de remoção? Obrigado.
  2. Avatar de Não Registrado
    O meu servidor foi infectado, não consigo acessar nenhum site cujo domínio seja da microsoft e nem intalar anti-vírus, anti-spy, etc... O método que encontrei foi executar a ferramenta de remoção atraves de um terminal da rede.
  3. Avatar de Não Registrado
    Meu amigo.

    Mande um link q deixe pessoas infectadas pelo virus conficker baixa para remover o virus ou mande o arquivo já baixado.
  4. Avatar de Não Registrado
    para quem não consegue acessar os sites.

    Vá em iniciar/executar digite services.msc

    váno serviço Cliente DNS ou DNS client depende d sua versão.

    pare e reinicie o serviço, agor pode acessar tranquilo os sites.
  5. Avatar de Dudas
    O site do avira antivirus não consta na lista do conficker e dá para baixar.
    Ele "segura" o vírus por um tempo até poder entrar em sites de outros antivírus ou mesmo da microsoft.
    Apanhei muito até conseguir descobrir isso...rsrsrs

    Site do avira antivirus

    [url=http://www.free-av.com/]Free antivirus - Avira AntiVir[/url]
  6. Avatar de Brian coimbea
    Olá, não conseguia baixar nenhuma antivírus na internet, e não conseguia acessar nenhum site da Microsoft! Tive que baixar pelo megaupload um antivírus, baixei o Avira, e deu certo, instalei a versão premium, ainda bem! O vírus tá fora, hj estou conseguindo acessar todos links normalmente, mas tem algum outro sintoma para saber se ele está mesmo fora? Abraços!

+ Enviar Comentário