DIÁRIO DO TÉCNICO: malware Conficker

Prezados,

o CAIS gostaria de alertar sobre o aumento no numero de incidentes
decorrentes da atividade do malware Conficker, tambem conhecido como
Downadup ou Kido, que segundo algumas fontes[1] ja infectou mais de 12
milhoes de sistemas ao redor do mundo. Este alerta visa orientar sobre o
funcionamento do malware Conficker e sobre como remove-lo.

. Como o Conficker infecta os sistemas:

O malware infecta sistemas Windows e se propaga atraves de tres vetores
principais:

1. Explorando uma vulnerabilidade no servico "Servidor" do Windows
(SVCHOST.EXE - TCP/445), cuja falha ja foi corrigida pelo alerta
MS08-067[2] da Microsoft
2. Executa ataques de força bruta contra redes compartilhadas,
tantando adivinhar a senha de acesso do administrador
3. Infecta dispositivos removiveis normalmente utilizados em diversos
computadores(pen drives, cartoes de memoria USB, etc)

. Principais acoes do Conficker no sistema:

Ao infectar um computador, o malware acessa diversas URLs na Internet em
busca de comandos a serem executados na máquina invadida (por exemplo,
roubar informacoes pessoais, enviar spams, fazer o download de outros
arquivos maliciosos, etc). Ele tambem desliga o Windows Defender e as
atualizacoes automaticas do Windows (Windows Update Service), alem de nao
permitir que o usuario do sistema acesse certas paginas de Internet que
contenham palavras como virus, malware, windowsupdate, entre outras.

. Como identificar maquinas infectadas por este malware em sua rede:

Caso voce seja adminstrador de rede, e' possivel identificar maquinas
infectadas pelo Conficker atraves dos seguintes procedimentos:

. Atente para o aumento anormal do trafego de rede em conexoes HTTP
(80/TCP), pois o Conficker utiliza este tipo de conexao para receber
instrucoes.

. Redes locais com compartilhamento de diretorios provavelmente estarao
mais lentas, dada a acao do Conficker na rede local.

. Configure em seu firewall ou proxy regras que registrem o acesso a
URLs acessadas pelo Conficker. Listas atualizadas constantemente com as
URLs que o malware tem acessado estao disponiveis em:

. Noms de domaine de Conficker / Downadup A et B et remarque surl'Autorun
  http://cert.lexsi.com/weblog/index.php/2009/02/06/276-noms-de-domaine-de-conficker-downadup-a-et-b

. Configure em seu firewall ou proxy regras que registrem as
seguintes requisicoes HTTP, muito provavelmente realizadas pelo
Conficker:

GET http://[IP]/search ?q=0 HTTP/1.0"
GET http://[IP]/search ?q=1 HTTP/1.0"
GET http://[IP]/search ?q=n+1 HTTP/1.0"

. Como remover o malware:

Para remover o Conficker do sistema, pode-se utilizar alguma das seguintes
ferramentas:

. Windows Malicious Software Removal Tool
http://www.microsoft.com/security/malwareremove/default.mspx

. Ferramenta de remocao da F-secure (fabricante de anti-virus)
ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

. McAfee Avert Stinger
http://vil.nai.com/vil/stinger/

. Ferramenta de remocao da BitDefender (fabricante de anti-virus)
http://www.bitdefender.com/site/Downloads/downloadFile/1584/FreeRemovalTool

. Ferramenta de remocao da Kaspersky (fabricante de anti-virus)
http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip

IMPORTANTE: Apos remover o malware, certifique-se que:
. Seu sistema possui a correcao MS08-067 [2] instalada;
. Seu sistema, anti-virus e firewall estao atualizados e em funcionamento;
. A senha do administrador da rede local é uma senha forte contendo pelo
menos 6 caracteres, incluindo letras, numeros e caracteres especiais (@,
$, !, etc).

Mais informacoes:

. Two Weeks of Conficker Data and 12 Million Nodes [1]
http://asert.arbornetworks.com/2009/01/two-weeks-of-conflicker-data/

. Microsoft Security Bulletin MS08-067 [2]
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

. CAIS-Alerta: Vulnerabilidade Crítica no Microsoft Windows
Microsoft Security Bulletin MS08-067
http://www.rnp.br/cais/alertas/2008/ms08-067.html

. Alerta de vírus sobre o worm Win32/Conficker.B
http://support.microsoft.com/kb/962007/pt-br

. Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/Entry.aspx?name=Win32%2fConficker

. Blog Microsoft Malware Protection Center
http://blogs.technet.com/mmpc/archive/2009/01/13/msrt-released-today-addressing-conficker-and-banload.aspx

. ISC SANS Handler's Diary: Third party information on conficker
http://isc.sans.org/diary.html?storyid=5860

Atenciosamente,

################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais@cais.rnp.br     http://www.cais.rnp.br   #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################

Páginas

17 de fev. de 2009

malware Conficker

Nenhum comentário:

Postar um comentário