Downadup

4 03 2009

downnadup

Pessoal gostaria de alertar sobre o aumento de incidentes decorrentes a atividade do malware Conficker, também  conhecido como Downadup ou Kido, que segundo algumas fontes[1] ja infectou mais de 12
milhões de sistemas ao redor do mundo. Este alerta visa orientar sobre o funcionamento do malware Conficker e sobre como remove-lo.

 

 

Como o Conficker infecta os sistemas:

 

O malware infecta sistemas Windows e se propaga através de três vetores principais:

1. Explorando uma vulnerabilidade no servico “Servidor” do Windows
(SVCHOST.EXE – TCP/445), cuja falha ja foi corrigida pelo alerta
MS08-067[2] da Microsoft;
2. Executa ataques de força bruta contra redes compartilhadas,
tantando adivinhar a senha de acesso do administrador;
3. Infecta dispositivos removiveis normalmente utilizados em diversos
computadores(pen drives, cartoes de memoria USB, etc)

Principais acoes do Conficker no sistema:

Ao infectar um computador, o malware acessa diversas URLs na Internet em busca de comandos a serem executados na máquina invadida (por exemplo: roubar informações pessoais, enviar spams, fazer o download de outros arquivos maliciosos, etc). Ele tambem desliga o Windows Defender e as atualizações automáticas do Windows (Windows Update Service), além de não permitir que o usuario do sistema acesse certas páginas de Internet que contenham palavras como vírus, malware, windowsupdate, entre outras.

Como identificar maquinas infectadas por este malware em sua rede:

Caso voce seja adminstrador de rede, é possível identificar máquinas
infectadas pelo Conficker atraves dos seguintes procedimentos:

  • Atente para o aumento anormal do tráfego de rede em conexões HTTP (80/TCP), pois o Conficker utiliza este tipo de conexão para receber instruções. 
  • Redes locais com compartilhamento de diretorios provavelmente estarão mais lentas, dada a acao do Conficker na rede local. 
  • Configure em seu firewall ou proxy regras que registrem o acesso a URLs acessadas pelo Conficker. Listas atualizadas constantemente com as URLs que o malware tem acessado estao disponiveis em:
  • Noms de domaine de Conficker / Downadup A et B et remarque surl’Autorun
    Noms de domaine de Conficker / Downadup A et B et remarque sur l’Autorun – CERT-LEXSI Weblog
  • Configure em seu firewall ou proxy regras que registrem as
    seguintes requisicoes HTTP, muito provavelmente realizadas pelo
    Conficker:
    GET http://[IP]/search ?q=0 HTTP/1.0″
    GET http://[IP]/search ?q=1 HTTP/1.0″
    GET http://[IP]/search ?q=n+1 HTTP/1.0″

    •  

Como remover o malware:

Para remover o Conficker do sistema, pode-se utilizar alguma das seguintes ferramentas:

Ferramenta de remocao da F-secure (fabricante de anti-virus)
ftp://ftp.f-secure.com/anti-virus/to…f-downadup.zip
Windows Malicious Software Removal Tool
http://www.microsoft.com/security/ma…e/default.mspx

McAfee Avert Stinger
McAfee Threat Center

Ferramenta de remocao da BitDefender (fabricante de anti-virus)
http://www.bitdefender.com/site/Down…reeRemovalTool

Ferramenta de remocao da Kaspersky (fabricante de anti-virus)
http://data2.kaspersky-labs.com:8080…iller_v3.1.zip

IMPORTANTE: Apos remover o malware, certifique-se que:

  • Seu sistema possui a correcao MS08-067 [2] instalada;
  • Seu sistema, anti-virus e firewall estao atualizados e em funcionamento;
  • A senha do administrador da rede local é uma senha forte contendo pelo menos 6 caracteres, incluindo letras, numeros e caracteres especiais (@,$, !, etc).

Mais informacoes:

Two Weeks of Conficker Data and 12 Million Nodes [1]
Two Weeks of Conficker Data and 12 Million Nodes | Security to the Core | Arbor Networks Security

Microsoft Security Bulletin MS08-067 [2]
Microsoft Security Bulletin MS08-067 – Critical: Vulnerability in Server Service Could Allow Remote Code Execution (958644)
CAIS-Alerta: Vulnerabilidade Crítica no Microsoft Windows
Microsoft Security Bulletin MS08-067
Vulnerabilidade Crítica no Microsoft Windows

Alerta de vírus sobre o worm Win32/Conficker.B
Alerta de vírus sobre o worm Win32/Conficker.B

Microsoft Malware Protection Center
Malware Protection Center – Entry: Win32/Conficker

Blog Microsoft Malware Protection Center
Microsoft Malware Protection Center : MSRT Released Today Addressing Conficker and Banload

ISC SANS Handler’s Diary: Third party information on conficker
SANS Internet Storm Center; Cooperative Network Security Community – Internet Security – isc


Comentários : Deixar um comentário »
Tags:
Categorias : Segurança