O Conficker continua firme e forte

O Conficker, também conhecido por Downadup ou Kido, fez um grande estrago em várias empresas de janeiro a abril, depois foi esquecido.
Mas ele continua firme e forte infectando micros sem Windows atualizado pelo mundo inteiro. Só no Brasil, um dos principais focos do vírus, mais de 1 milhão de micros está infectado por ele.

No mundo todo são cerca de 4,6 milhões de micros infectados. Estes micros infectados funcionam como escravos obedecendo a um mestre. Quem controla estes micros aluga-os, principalmente, para enviar emails de propaganda (spam) para milhões e milhões de pessoas.

Como se proteger?

Leia a matéria Tudo sobre o vírus Downad (Downadup, Conficker, Kido).

E instale um anti-vírus: Opções de Anti-vírus gratuitos

No site http://www.confickerworkinggroup.org/wiki/ existe um teste rápido e fácil para você descobrir se o seu micro está infectado.

Como não existe versão em português tomei a liberdade de reproduzi-lo e traduzi-lo a seguir:

Conficker – Teste Visual

Veja esta tabela

Como interpretar a tabela:

Se você ver isso:	Significa que provavelmente:
	= Está normal/não infectado pelo Conficker ou você usa um proxy
	= Está infectado pelo Conficker (variação C ou mais nova)
	= Está infectado pelo Conficker (variação A ou B)
	= Se browser está configurado para não enviar imagens?
Any other combination	= Sua conexão com a internet está com problemas?

Explicação:

Conficker (Downadup, Kido) é conhecido por bloquear o acesso a mais de 100 sites de anti-vírus e segurança. Se você não consegue carregar as imagens da primeira linha (provenientes de sites de segurança), mas consegue carregar as imagens da segunda linha (provenientes de sites de sistemas operacionas) então seus Windows pode estar infectado pelo Conficker (ou por algum outro vírus). Se você consegue ver todas as seis imagens, ou você não está infectado ou pode estar usando um proxy que mascara o teste.

F-Secure and the F-Secure Logo are trademarks of F-Secure Corporation.

SecureWorks and the SecureWorks Logo are registered trademarks of SecureWorks Inc.

Trend Micro and the T-Ball logo are trademarks or registered trademarks of Trend Micro Inc.

Boas e más notícias sobre o Confiker

O criador do Confiker (Downadup, Conficker, Kido) deve ter lido o Blog do Vicente e aceito a sugestão. A variante Conficker.E irá se autodestruir no dia 5 de maio.

Em compensação a variante Conficker.C, aquela que se atualizou no dia 1º de Abril está cobrando resgate de US$ 50,00 para sair do micro.

Quanto às outras versões, elas continuam “apenas” tentando quebrar senhas fracas sobrecarregando servidores da AD (Active Directory).

Descobri, também, que o Conficker transforma as máquinas infectadas em zumbis de spam, enviando de 10.000 a 20.000 spams por dia.

Conficker não foi ativado em 1 de Abril

O dia 1º de abril passou sem o registro de grandes danos causados pelo vírus Conficker, também conhecido como Downadup, Kido ou Downad, mas ainda assim ele ganhou força.

No primeiro dia de abril, o potente vírus sofreu uma mutação e fortaleceu sua resistência, o que dificulta ainda mais a localização dos criadores.

“Apesar dos hackers na origem do Conficker não terem anunciado ordens específicas, milhões de PCs correm risco de ser controladas no futuro por pessoas desconhecidas”, advertiu Paul Ferguson, da empresa de segurança em informática Trend Micro.

“A ameaça continua assim. Estes caras são espertos: não vão fazer truques muito evidentes no momento em que todos os olhos estão voltados para o problema”, destacou.

“O vírus é muito sofisticado e parece que seus criadores estão no leste da Europa.”

O Conficker pode infectar computadores pela internet ou se esconder entre os dados armazenados em um pendrive, passando assim de um computador para outro. Uma vez alojado, ele instala defesas que tornam muito difícil a eliminação.

Os intrusos podem roubar dados ou assumir o controle dos computadores infectados, transformando os mesmos em máquinas “zumbis” membros de um “botnet”, uma rede de computadores a serviço dos hackers.

Fonte: Folha online

Seus computadores não foram infectados? Não subestime o Conficker, seu poder em derrubar redes e potencial de destruição não são iguais a nenhum outro vírus. Aqui você encontra dicas para proteger sua rede do Conficker e outras ameaças futuras.

Atualização do Downadup (Downadup, Conficker, Kido)

Amanhã, dia 1º de abril, o vírus Downadup deverá se atualizar. Se nas versões anteriores ele já provocou grandes estragos não quero nem ver o que ele vai fazer desta vez. Esteja preparado.

Atualmente o Downadup deve estar presente em milhões de micros de usuários incautos pelo mundo afora. Todos esperando pelo dia 1º de abril por novas instruções.

O que ele poderá fazer? Hipóteses:

Causar a maior onda de SPAM já vista.

Fazer ataques DoS (Deny of Service) a grandes sites (Google, Microsoft, Blog do Vicente).

Parar redes de grandes empresas.

Dominar o mundo.

Exterminar o futuro®.

Se auto-destruir.

Etc.

Veja mais detalhes no Gizmodo.

Mantenha seu antivírus e seu Windows atualizado.

Caso você ainda não tenha um antivírus aqui vai uma lista de antivírus gratuítos:

Avast

Avg

Avira

BitDefender

Nova variante do Downadup já tem removedor

Como eu já havia comentado o vírus downadup consegue se atualizar pela internet. Graças a isso no dia 1º de abril uma nova variante, que já está se alastrando por ai, se ativará e começará a fazer o maior estrago nas redes de computador.

A BitDefender lançou um novo removedor de downadup (downadup, conficker, kido) que promete remover inclusive a versão mais nova do vírus, que é mais resistente a antivírus e removedores.

O download do removedor está disponível em http://bdtools.net/.

Descompacte em alguma pasta, execute-o e aguarde algums minutos. É relativamente rápido. Enquanto ele estiver sendo executado ele irá parar alguns serviços e os temas poderão ficar desabilitados temporariamente.

Tudo sobre o vírus Downad (Downadup, Conficker, Kido)

Ao menos tudo o que conseguimos descobrir até agora. Creio que são os métodos mais efetivos para a remoção do vírus downad (downadup, conficker, kido).

Em primeiro lugar vou ser sincero. Não vai ser fácil remover o danado.

Cuidado, ao se logar em uma rede em um micro infectado com uma senha de administrador de rede ele pode usar os seus privilégios para atacar outras máquinas. Se logue como um usuário sem privilégios, depois execute um cmd como administrador (botão da direita / executar como…)

Aparentemente ele só ataca máquinas com Windows 2000 ou superior. Não ouvi ninguém reclamando de Windows 9x ou NT.

O recurso que mais me preocupa é que ele pode se atualizar através da internet. Enquanto os micros de sua rede não estiverem limpos a atualizados deixe-os sem conexão com a internet (gateways e proxies).

Sintomas:

Muitas portas 445 abertas (Mais de 100). Use o comando netstat -an para verificar. É deste jeito que ele executa os ataques Deny of Service (DOS).

Windows update para de funcionar.

Bloqueio ao acesso a sites de anti-vírus.

Em empresas com servidores de domínio estes servidores começam a apresentar alto uso de CPU e até travar. Os micros começam a ter dificuldade de se logar e as senhas dos usuários começam a bloquear. Acesse o event viewer no item segurança (Security) e procure pelos bloqueios de chave em grande quantidade, isso o ajudará a identificar máquinas infectadas.

Seu anti-vírus não carrega mais.

Servidores DNS apresentam alto uso de CPU. Instale o wireshark no servidor para capturar as requisições DNS (filtro de captura = port 53) do servidor e procure por pesquisas de endereço totalmente esdrúxulas, tipo asewrirj.cn (o final pode ser cn, biz, com, info), isso o ajudará a identificar máquinas infectadas.

Servidores WINS também são atacados. Use o wireshark no servidor para capturar as requisições WINS (filtro de captura = port 137) do servidor e procure por pesquisas de endereço totalmente esdrúxulas, tipo asewrirj.cn (o final pode ser cn, biz, com, info), isso o ajudará a identificar máquinas infectadas.

Se você conectar um pen-drive ele será infectado. Sendo criado um arquivo autorun.inf no pen-drive.

Métodos de infecção:

Vulnerabilidade divulgada pela Microsoft sob a identificação MS8-067.

Descoberta de senhas fracas. Não deixe senhas em branco, principalmente a do administrador do micro.

Pastas compartilhadas.

Pen-drives. Cuidado, o autorun do pen-drive infectado mostra uma mensagem bem similar à “Abrir a pasta para visualizar os arquivos, enganando o usuário e fazendo ele escolher a opção errada.

Bloqueio:

Aplicar o service pack mais atual para o seu sistema operacional; e

Aplicar a correção KB958644, conforme o sistema operacional.

A senha de administrador da máquina deve ser diferente de branco e da  lista usada pelo vírus.

Se necessário desabilitar temporariamente o serviço “servidor” do micro. Com isso o micro fecha todos os compartilhamentos e perde mais algumas funcionalidades.

Remoção:

Ferramenta de remoção KB800830 (MSRT). Mais informação neste link para o site da Microsoft; e/ou

Removedor da Symantec.

Removedor da BitDefender (atualizado em 13/03/2009).

Removedor da Sophos, inclui ferramenta para executar em micros de um dominio (atualizado em 31/03/2009).

Após remover o vírus, reinstalar o anti-vírus e atualizá-lo.

Fique de olho nos micros infectados para ver se o vírus não retorna. Em caso de reincidências diversas recomendo formatação, com posterior reinstalação do S.O., seguido de aplicação do service pack mais atual, da correção KB958644 e instalação do anti-vírus tudo com o micro fora de rede. Só depois conectá-lo a rede.

Mais informações em:

Symantec

Estatísticas

Mcafee

Trend

Avira

Sophos

Microsoft

Espero que estas informações o ajude.