Prezados,
o CAIS gostaria de alertar sobre o aumento no numero de incidentes decorrentes da atividade do malware Conficker, tambem conhecido como Downadup ou Kido, que segundo algumas fontes, ja infectou mais de 12 milhoes de sistemas ao redor do mundo. Este alerta visa orientar sobre o funcionamento do malware Conficker e sobre como removê-lo.
Como o Conficker infecta os sistemas:O malware infecta sistemas Windows e se propaga atraves de tres vetores principais:
1. Explorando uma vulnerabilidade no serviço "Servidor" do Windows (SVCHOST.EXE - TCP/445), cuja falha ja foi corrigida pelo alerta MS08-067[2] da Microsoft
2. Executa ataques de força bruta contra redes compartilhadas, tantando adivinhar a senha de acesso do administrador
3. Infecta dispositivos removiveis normalmente utilizados em diversos computadores (pen drives, cartões de memoria USB, etc)
Principais ações do Conficker no sistema:Ao infectar um computador, o malware acessa diversas URLs na Internet em busca de comandos a serem executados na máquina invadida (por exemplo, roubar informações pessoais, enviar spams, fazer o download de outros arquivos maliciosos, etc). Ele tambem desliga o Windows Defender e as atualizacoes automáticas do Windows (Windows Update Service), alem de não permitir que o usuario do sistema acesse certas páginas de Internet que contenham palavras como virus, malware, windowsupdate, entre outras.
Como identificar máquinas infectadas por este malware em sua rede:Caso voce seja adminstrador de rede, e' possivel identificar maquinas infectadas pelo Conficker atraves dos seguintes procedimentos:
. Atente para o aumento anormal do trafego de rede em conexões HTTP (80/TCP), pois o Conficker utiliza este tipo de conexão para receber instruções.
. Redes locais com compartilhamento de diretórios provavelmente estarão mais lentas, dada a ação do Conficker na rede local.
. Configure em seu firewall ou proxy regras que registrem o acesso a URLs acessadas pelo Conficker. Listas atualizadas constantemente com as URLs que o malware tem acessado estão disponiveis em:
http://cert.lexsi.com/weblog/index.php/2009/02/06/276-noms-de-domaine-de-conficker-downadup-a-et-b. Configure em seu firewall ou proxy regras que registrem as seguintes requisições HTTP, muito provavelmente realizadas pelo Conficker:
GET http://[IP]/search ?q=0 HTTP/1.0"
GET http://[IP]/search ?q=1 HTTP/1.0"
GET http://[IP]/search ?q=n+1 HTTP/1.0"
Como remover o malware:Para remover o Conficker do sistema, pode-se utilizar alguma das seguintes ferramentas:
. Windows Malicious Software Removal Tool
http://www.microsoft.com/security/malwareremove/default.mspx. Ferramenta de remoção da F-secure (fabricante de anti-virus)
ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip. McAfee Avert Stinger
http://vil.nai.com/vil/stinger/. Ferramenta de remoção da BitDefender (fabricante de anti-virus)
http://www.bitdefender.com/site/Downloads/downloadFile/1584/FreeRemovalTool. Ferramenta de remoção da Kaspersky (fabricante de anti-virus)
http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip
IMPORTANTE: Após remover o malware, certifique-se que:
. Seu sistema possui a correção MS08-067 instalada;
. Seu sistema, anti-virus e firewall estao atualizados e em funcionamento;
. A senha do administrador da rede local é uma senha forte contendo pelo menos 6 caracteres, incluindo letras, numeros e caracteres especiais (@, $, !, etc).
Mais informações:
. Two Weeks of Conficker Data and 12 Million Nodes
http://asert.arbornetworks.com/2009/01/two-weeks-of-conflicker-data/. Microsoft Security Bulletin MS08-067
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx. CAIS-Alerta: Vulnerabilidade Crítica no Microsoft Windows
Microsoft Security Bulletin MS08-067
http://www.rnp.br/cais/alertas/2008/ms08-067.html. Alerta de vírus sobre o worm Win32/Conficker.B
http://support.microsoft.com/kb/962007/pt-br. Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/Entry.aspx?name=Win32%2fConficker. Blog Microsoft Malware Protection Center
http://blogs.technet.com/mmpc/archive/2009/01/13/msrt-released-today-addressing-conficker-and-banload.aspx. ISC SANS Handler's Diary: Third party information on conficker
http://isc.sans.org/diary.html?storyid=5860Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais@cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
Dica do amigo Airis Paraguassu, por e-mail
A Nokia anunciou uma parceria com o software de telefonia por internet Skype na terça-feira (17), a partir da inserção do sistema de voz sobre IP em aparelhos celulares Nseries, produzidos pela marca. O anúncio significa a habilitação, para todos aqueles que possuem um aparelho Nseries, da ligação gratuita entre números do Skype. 
