CAIS-Alerta: Como identificar e remover o malware Conficker (Downadup ou Kido)

Marcadores: , , Postado por Rogério Cidade
quarta-feira, 18 de fevereiro de 2009
Prezados,

o CAIS gostaria de alertar sobre o aumento no numero de incidentes decorrentes da atividade do malware Conficker, tambem conhecido como Downadup ou Kido, que segundo algumas fontes, ja infectou mais de 12 milhoes de sistemas ao redor do mundo. Este alerta visa orientar sobre o funcionamento do malware Conficker e sobre como removê-lo.

Como o Conficker infecta os sistemas:

O malware infecta sistemas Windows e se propaga atraves de tres vetores principais:

1. Explorando uma vulnerabilidade no serviço "Servidor" do Windows (SVCHOST.EXE - TCP/445), cuja falha ja foi corrigida pelo alerta MS08-067[2] da Microsoft

2. Executa ataques de força bruta contra redes compartilhadas, tantando adivinhar a senha de acesso do administrador

3. Infecta dispositivos removiveis normalmente utilizados em diversos computadores (pen drives, cartões de memoria USB, etc)

Principais ações do Conficker no sistema:

Ao infectar um computador, o malware acessa diversas URLs na Internet em busca de comandos a serem executados na máquina invadida (por exemplo, roubar informações pessoais, enviar spams, fazer o download de outros arquivos maliciosos, etc). Ele tambem desliga o Windows Defender e as atualizacoes automáticas do Windows (Windows Update Service), alem de não permitir que o usuario do sistema acesse certas páginas de Internet que contenham palavras como virus, malware, windowsupdate, entre outras.

Como identificar máquinas infectadas por este malware em sua rede:

Caso voce seja adminstrador de rede, e' possivel identificar maquinas infectadas pelo Conficker atraves dos seguintes procedimentos:

. Atente para o aumento anormal do trafego de rede em conexões HTTP (80/TCP), pois o Conficker utiliza este tipo de conexão para receber instruções.

. Redes locais com compartilhamento de diretórios provavelmente estarão mais lentas, dada a ação do Conficker na rede local.

. Configure em seu firewall ou proxy regras que registrem o acesso a URLs acessadas pelo Conficker. Listas atualizadas constantemente com as URLs que o malware tem acessado estão disponiveis em:

http://cert.lexsi.com/weblog/index.php/2009/02/06/276-noms-de-domaine-de-conficker-downadup-a-et-b

. Configure em seu firewall ou proxy regras que registrem as seguintes requisições HTTP, muito provavelmente realizadas pelo Conficker:

GET http://[IP]/search ?q=0 HTTP/1.0"
GET http://[IP]/search ?q=1 HTTP/1.0"
GET http://[IP]/search ?q=n+1 HTTP/1.0"

Como remover o malware:

Para remover o Conficker do sistema, pode-se utilizar alguma das seguintes ferramentas:

. Windows Malicious Software Removal Tool
http://www.microsoft.com/security/malwareremove/default.mspx

. Ferramenta de remoção da F-secure (fabricante de anti-virus)
ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

. McAfee Avert Stinger
http://vil.nai.com/vil/stinger/

. Ferramenta de remoção da BitDefender (fabricante de anti-virus)
http://www.bitdefender.com/site/Downloads/downloadFile/1584/FreeRemovalTool

. Ferramenta de remoção da Kaspersky (fabricante de anti-virus)
http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip

IMPORTANTE: Após remover o malware, certifique-se que:

. Seu sistema possui a correção MS08-067 instalada;
. Seu sistema, anti-virus e firewall estao atualizados e em funcionamento;
. A senha do administrador da rede local é uma senha forte contendo pelo menos 6 caracteres, incluindo letras, numeros e caracteres especiais (@, $, !, etc).


Mais informações:

. Two Weeks of Conficker Data and 12 Million Nodes
http://asert.arbornetworks.com/2009/01/two-weeks-of-conflicker-data/

. Microsoft Security Bulletin MS08-067
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

. CAIS-Alerta: Vulnerabilidade Crítica no Microsoft Windows
Microsoft Security Bulletin MS08-067
http://www.rnp.br/cais/alertas/2008/ms08-067.html

. Alerta de vírus sobre o worm Win32/Conficker.B
http://support.microsoft.com/kb/962007/pt-br

. Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/Entry.aspx?name=Win32%2fConficker

. Blog Microsoft Malware Protection Center
http://blogs.technet.com/mmpc/archive/2009/01/13/msrt-released-today-addressing-conficker-and-banload.aspx

. ISC SANS Handler's Diary: Third party information on conficker
http://isc.sans.org/diary.html?storyid=5860


Atenciosamente,

################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais@cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################

Dica do amigo Airis Paraguassu, por e-mail
às 20:15

5 comentários:

Anônimo disse...

Free Casino Gambling tyuueooru
http://stonewalljacksoncarnival.org/ - Free Games Casino
It?s obviously due the comfort and easiness arriving with the online casino that many people, at present, are choosing to stick with online casino rather the traditional land-based casinos.
[url=http://stonewalljacksoncarnival.org/]Free Casino Play[/url]
Online casino seems to take the industry by storm.
Virtual Casino
There are several advantages of playing online casino and some of them include: 1.

24 de dezembro de 2009 às 23:27
Anônimo disse...

catholic singles [url=http://loveepicentre.com/]singles tripes[/url] dating free software ware http://loveepicentre.com/ mature gay men personals

28 de fevereiro de 2010 às 11:50
Anônimo disse...

toshiba laptop batteries [url=http://www.hqlaptopbatteries.com/-2413wlc-laptopbatterymodel1096.html]Acer Laptop[/url] laptop accessories http://www.hqlaptopbatteries.com/-n400-laptopbatterymodel1795.html Armor Laptop
toshiba laptop [url=http://www.hqlaptopbatteries.com/battery-1681lmi-batterytype1.html]laptop comparison[/url] Acer laptop battery http://www.hqlaptopbatteries.com/-335cdt-laptopbatterymodel186.html Laptop Adapter
sony laptop [url=http://www.hqlaptopbatteries.com/battery-6920-batterytype1.html]High Quality Laptop Batteries[/url] LAPTOP Magazine http://www.hqlaptopbatteries.com/battery-5572znwxci-batterytype1.html laptop brands

3 de março de 2010 às 06:38
Anônimo disse...

http://flash.incito.lt/viewtopic.php?f=20&t=42166 http://angelro.hghost.com.br/forum/index.php?showtopic=2806 http://kotachang.zombie.jp/nbbs/apeboard_plus.cgi?command=read_message&msgnum=20%25253Eclip http://www.weddingchain.co.uk/weddingforum/viewtopic.php?f=2&t=48300
http://www.ichatasia.com/forum/viewtopic.php?f=3&t=109213 http://www.wemosh.de/viewtopic.php?f=2&t=30604 http://www.seo-tool-reviews.info/seo-forum/viewtopic.php?p=87116#87116 http://borakbola.net/forum/phpBB3/viewtopic.php?f=3&t=152152
http://www.thewrestlingfrenzy.com/forum/viewtopic.php?f=7&t=109034 http://herbsfuzion.com/forum/index.php?topic=118393.new#new http://bpo5000.com/forum/viewtopic.php?f=2&t=243948

4 de abril de 2010 às 08:58
Anônimo disse...

guatemala travel deals http://livetravel.in/plane-tickets/new-zealand-plane-tickets sumner travel
[url=http://livetravel.in/airlines/check-flight-times-for-hawaiin-airlines]franzuz travel smart[/url] podhale travel philadelphia [url=http://livetravel.in/motel/oceanic-motel-ocean-city-nj]oceanic motel ocean city nj[/url]
deals red travel http://livetravel.in/travel/airstream-1973-travel-trailer-electrical-schematic
[url=http://livetravel.in/vacation-packages/cancun-vacation-package]magellen travel[/url] aaa travel reservations [url=http://livetravel.in/maps/europe-peninsulas-maps]europe peninsulas maps[/url]
travel hanoi to saigon http://livetravel.in/car-rental/rental-car-restrictions-in-mexico
[url=http://livetravel.in/hotel/gold-strike-hotel-casino]travel stores online[/url] bolivia group travel [url=http://livetravel.in/airline/airline-asia-discount-ticket-travel]airline asia discount ticket travel[/url] how did people first travel from one place to another [url=http://livetravel.in/adventure/arabian-stallion-pf-bold-adventure]arabian stallion pf bold adventure[/url]
travel to beirut [url=http://livetravel.in/inn/wonderland-inn]wonderland inn[/url]
portable travel battery hair dryer http://livetravel.in/motel/building-a-motel
[url=http://livetravel.in/expedia/john-sullivan-expedia]tesco travel inseance[/url] erotic travel for men [url=http://livetravel.in/cruise/voyager-explorer-cruise-ships]voyager explorer cruise ships[/url]
[url=http://livetravel.in/airlines/uruguayan-airlines]uruguayan airlines[/url] wayland travel in ma [url=http://livetravel.in/hotel/last-minute-mumbai-hotel-deals]last minute mumbai hotel deals[/url] free internet travel vouchers [url=http://livetravel.in/airlines/airlines-san-diego]airlines san diego[/url]
comfortable travel clothes [url=http://livetravel.in/disneyland/southern-california-disneyland-limo-service]southern california disneyland limo service[/url]

24 de abril de 2010 às 15:32

Postar um comentário

Assinar: Postar comentários (Atom)