o CAIS gostaria de alertar sobre o aumento no numero de incidentes
decorrentes da atividade do malware Conficker, tambem conhecido como
Downadup ou Kido, que segundo algumas fontes[1] ja infectou mais de 12
milhoes de sistemas ao redor do mundo. Este alerta visa orientar sobre o
funcionamento do malware Conficker e sobre como remove-lo.
. Como o Conficker infecta os sistemas:
O malware infecta sistemas Windows e se propaga atraves de tres vetores
principais:
1. Explorando uma vulnerabilidade no servico "Servidor" do Windows
(SVCHOST.EXE - TCP/445), cuja falha ja foi corrigida pelo alerta
MS08-067[2] da Microsoft
2. Executa ataques de força bruta contra redes compartilhadas,
tantando adivinhar a senha de acesso do administrador
3. Infecta dispositivos removiveis normalmente utilizados em diversos
computadores(pen drives, cartoes de memoria USB, etc)
. Principais acoes do Conficker no sistema:
Ao infectar um computador, o malware acessa diversas URLs na Internet em
busca de comandos a serem executados na máquina invadida (por exemplo,
roubar informacoes pessoais, enviar spams, fazer o download de outros
arquivos maliciosos, etc). Ele tambem desliga o Windows Defender e as
atualizacoes automaticas do Windows (Windows Update Service), alem de nao
permitir que o usuario do sistema acesse certas paginas de Internet que
contenham palavras como virus, malware, windowsupdate, entre outras.
. Como identificar maquinas infectadas por este malware em sua rede:
Caso voce seja adminstrador de rede, e' possivel identificar maquinas
infectadas pelo Conficker atraves dos seguintes procedimentos:
. Atente para o aumento anormal do trafego de rede em conexoes HTTP
(80/TCP), pois o Conficker utiliza este tipo de conexao para receber
instrucoes.
. Redes locais com compartilhamento de diretorios provavelmente estarao
mais lentas, dada a acao do Conficker na rede local.
. Configure em seu firewall ou proxy regras que registrem o acesso a
URLs acessadas pelo Conficker. Listas atualizadas constantemente com as
URLs que o malware tem acessado estao disponiveis em:
. Noms de domaine de Conficker / Downadup A et B et remarque surl'Autorun
http://cert.lexsi.com/weblog/
. Configure em seu firewall ou proxy regras que registrem as
seguintes requisicoes HTTP, muito provavelmente realizadas pelo
Conficker:
GET http://[IP]/search ?q=0 HTTP/1.0"
GET http://[IP]/search ?q=1 HTTP/1.0"
GET http://[IP]/search ?q=n+1 HTTP/1.0"
. Como remover o malware:
Para remover o Conficker do sistema, pode-se utilizar alguma das seguintes
ferramentas:
. Windows Malicious Software Removal Tool
http://www.microsoft.com/
. Ferramenta de remocao da F-secure (fabricante de anti-virus)
ftp://ftp.f-secure.com/anti-
. McAfee Avert Stinger
http://vil.nai.com/vil/
. Ferramenta de remocao da BitDefender (fabricante de anti-virus)
http://www.bitdefender.com/
. Ferramenta de remocao da Kaspersky (fabricante de anti-virus)
http://data2.kaspersky-labs.
IMPORTANTE: Apos remover o malware, certifique-se que:
. Seu sistema possui a correcao MS08-067 [2] instalada;
. Seu sistema, anti-virus e firewall estao atualizados e em funcionamento;
. A senha do administrador da rede local é uma senha forte contendo pelo
menos 6 caracteres, incluindo letras, numeros e caracteres especiais (@,
$, !, etc).
Mais informacoes:
. Two Weeks of Conficker Data and 12 Million Nodes [1]
http://asert.arbornetworks.
. Microsoft Security Bulletin MS08-067 [2]
http://www.microsoft.com/
. CAIS-Alerta: Vulnerabilidade Crítica no Microsoft Windows
Microsoft Security Bulletin MS08-067
http://www.rnp.br/cais/
. Alerta de vírus sobre o worm Win32/Conficker.B
http://support.microsoft.com/
. Microsoft Malware Protection Center
http://www.microsoft.com/
. Blog Microsoft Malware Protection Center
http://blogs.technet.com/mmpc/
. ISC SANS Handler's Diary: Third party information on conficker
http://isc.sans.org/diary.
Atenciosamente,
##############################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais@cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-
##############################
Nenhum comentário:
Postar um comentário