Como identificar e remover o malware Conficker.

**Lord Enigm@** · 22-02-2009, 1:52

Gostaria de alertar sobre o aumento no número de incidentes decorrentes da atividade do malware Conficker, tambem conhecido como Downadup ou Kido, que segundo algumas fontes[1] ja infectou mais de 12 milhões de sistemas ao redor do mundo. Este alerta visa orientar sobre o funcionamento do malware Conficker e sobre como removê-lo.

. Como o Conficker infecta os sistemas:

O malware infecta sistemas Windows e se propaga através de três vetores principais:

1. Explorando uma vulnerabilidade no servico "Servidor" do Windows
(SVCHOST.EXE - TCP/445), cuja falha ja foi corrigida pelo alerta
MS08-067[2] da Microsoft
2. Executa ataques de força bruta contra redes compartilhadas,
tantando adivinhar a senha de acesso do administrador
3. Infecta dispositivos removíveis normalmente utilizados em diversos
computadores(pen drives, cartões de memória USB, etc)

. Principais ações do Conficker no sistema:

Ao infectar um computador, o malware acessa diversas URLs na Internet em busca de comandos à serem executados na máquina invadida (por exemplo, roubar informações pessoais, enviar spams, fazer o download de outros arquivos maliciosos, etc). Ele tambem desliga o Windows Defender e as atualizações automáticas do Windows (Windows Update Service), além de não permitir que o usuário do sistema acesse certas páginas de Internet que contenham palavras como virus, malware, windowsupdate, entre outras.

. Como identificar máquinas infectadas por este malware em sua rede:

Caso voce seja adminstrador de rede, é possivel identificar máquinas
infectadas pelo Conficker através dos seguintes procedimentos:

. Atente para o aumento anormal do trafego de rede em conexões HTTP
(80/TCP), pois o Conficker utiliza este tipo de conexão para receber
instruções.

. Redes locais com compartilhamento de diretórios provavelmente estarão
mais lentas, dada a ação do Conficker na rede local.

. Configure em sua firewall ou proxy regras que registrem o acesso à
URLs acessadas pelo Conficker. Listas atualizadas constantemente com as URLs que o malware tem acessado estão disponiveis em:

. Noms de domaine de Conficker / Downadup A et B et remarque surl'Autorun
http://cert.lexsi.com/weblog/index.php/2009/02/06/276-noms-de-domaine-de-conficker-downadup-a-et-b

. Configure em sua firewall ou proxy regras que registrem as
seguintes requisições HTTP, muito provavelmente realizadas pelo
Conficker:

GET http://[IP]/search ?q=0 HTTP/1.0"
GET http://[IP]/search ?q=1 HTTP/1.0"
GET http://[IP]/search ?q=n+1 HTTP/1.0"

. Como remover o malware:

Para remover o Conficker do sistema, pode-se utilizar alguma das seguintes ferramentas:

. Windows Malicious Software Removal Tool
http://www.microsoft.com/security/malwareremove/default.mspx

. Ferramenta de remoção da F-secure (fabricante de anti-virus)
ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

. McAfee Avert Stinger
http://vil.nai.com/vil/stinger/

. Ferramenta de remoção da BitDefender (fabricante de anti-virus) http://www.bitdefender.com/site/Downloads/downloadFile/1584/FreeRemovalTool

. Ferramenta de remoção da Kaspersky (fabricante de anti-virus)
http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip

IMPORTANTE: Após remover o malware, certifique-se que:

. Seu sistema possui a correcao MS08-067 [2] instalada;
. Seu sistema, anti-virus e firewall estão atualizados e em funcionamento;
. A senha do administrador da rede local é uma senha forte contendo pelo
menos 6 caracteres, incluindo letras, numeros e caracteres especiais (@,
$, !, etc).

Mais informações:

. Two Weeks of Conficker Data and 12 Million Nodes [1]
http://asert.arbornetworks.com/2009/01/two-weeks-of-conflicker-data/

. Microsoft Security Bulletin MS08-067 [2]
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

. CAIS-Alerta: Vulnerabilidade Crítica no Microsoft Windows
Microsoft Security Bulletin MS08-067
http://www.rnp.br/cais/alertas/2008/ms08-067.html

. Alerta de vírus sobre o worm Win32/Conficker.B
http://support.microsoft.com/kb/962007/pt-br

. Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/Entry.aspx?name=Win32%2fConficker

. Blog Microsoft Malware Protection Center
http://blogs.technet.com/mmpc/archive/2009/01/13/msrt-released-today-addressing-conficker-and-banload.aspx

. ISC SANS Handler's Diary: Third party information on conficker
http://isc.sans.org/diary.html?storyid=5860

Regicarlos · 22-02-2009, 7:41

Parabéns Lord Enigm@!

Excelentes explicações desta nova praga, boa didática,com certeza devemos está atentos, e sempre manter nosso PC atualizado: Antivirus,firewall,antipyware e todo o sistema, fazendo as atualizações necessárias!

Um forte abraço!

Antonio Vieira S · 22-02-2009, 10:56

Parabéns, Lord Enigma pelas ótimas dicas.

Aqui vão também outros sites com dicas para se prevenir e eliminar este Conficker:

http://www.hardware.com.br/comunidad...ml#post4241101
http://social.technet.microsoft.com/...f-31e0d2d5675a
http://www.hardware.com.br/comunidade/v-t/930322/
http://www.linhadefensiva.org/forum/...0&#entry444174
http://br.answers.yahoo.com/question...8094255AArGeua
http://br.answers.yahoo.com/question...111AAjww3V&r=w

22-02-2009, 1:52	#1 (permalink)
Lord Enigm@ Moderador Site Registrado em: Nov 2008 Localização: Hellraiser Idade: 100 Mensagens: 4.430 Reputação: 10676	Como identificar e remover o malware Conficker. Gostaria de alertar sobre o aumento no número de incidentes decorrentes da atividade do malware Conficker, tambem conhecido como Downadup ou Kido, que segundo algumas fontes[1] ja infectou mais de 12 milhões de sistemas ao redor do mundo. Este alerta visa orientar sobre o funcionamento do malware Conficker e sobre como removê-lo. . Como o Conficker infecta os sistemas: O malware infecta sistemas Windows e se propaga através de três vetores principais: 1. Explorando uma vulnerabilidade no servico "Servidor" do Windows (SVCHOST.EXE - TCP/445), cuja falha ja foi corrigida pelo alerta MS08-067[2] da Microsoft 2. Executa ataques de força bruta contra redes compartilhadas, tantando adivinhar a senha de acesso do administrador 3. Infecta dispositivos removíveis normalmente utilizados em diversos computadores(pen drives, cartões de memória USB, etc) . Principais ações do Conficker no sistema: Ao infectar um computador, o malware acessa diversas URLs na Internet em busca de comandos à serem executados na máquina invadida (por exemplo, roubar informações pessoais, enviar spams, fazer o download de outros arquivos maliciosos, etc). Ele tambem desliga o Windows Defender e as atualizações automáticas do Windows (Windows Update Service), além de não permitir que o usuário do sistema acesse certas páginas de Internet que contenham palavras como virus, malware, windowsupdate, entre outras. . Como identificar máquinas infectadas por este malware em sua rede: Caso voce seja adminstrador de rede, é possivel identificar máquinas infectadas pelo Conficker através dos seguintes procedimentos: . Atente para o aumento anormal do trafego de rede em conexões HTTP (80/TCP), pois o Conficker utiliza este tipo de conexão para receber instruções. . Redes locais com compartilhamento de diretórios provavelmente estarão mais lentas, dada a ação do Conficker na rede local. . Configure em sua firewall ou proxy regras que registrem o acesso à URLs acessadas pelo Conficker. Listas atualizadas constantemente com as URLs que o malware tem acessado estão disponiveis em: . Noms de domaine de Conficker / Downadup A et B et remarque surl'Autorun http://cert.lexsi.com/weblog/index.php/2009/02/06/276-noms-de-domaine-de-conficker-downadup-a-et-b . Configure em sua firewall ou proxy regras que registrem as seguintes requisições HTTP, muito provavelmente realizadas pelo Conficker: GET http://[IP]/search ?q=0 HTTP/1.0" GET http://[IP]/search ?q=1 HTTP/1.0" GET http://[IP]/search ?q=n+1 HTTP/1.0" . Como remover o malware: Para remover o Conficker do sistema, pode-se utilizar alguma das seguintes ferramentas: . Windows Malicious Software Removal Tool http://www.microsoft.com/security/malwareremove/default.mspx . Ferramenta de remoção da F-secure (fabricante de anti-virus) ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip . McAfee Avert Stinger http://vil.nai.com/vil/stinger/ . Ferramenta de remoção da BitDefender (fabricante de anti-virus) http://www.bitdefender.com/site/Downloads/downloadFile/1584/FreeRemovalTool . Ferramenta de remoção da Kaspersky (fabricante de anti-virus) http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip IMPORTANTE: Após remover o malware, certifique-se que: . Seu sistema possui a correcao MS08-067 [2] instalada; . Seu sistema, anti-virus e firewall estão atualizados e em funcionamento; . A senha do administrador da rede local é uma senha forte contendo pelo menos 6 caracteres, incluindo letras, numeros e caracteres especiais (@, $, !, etc). Mais informações: . Two Weeks of Conficker Data and 12 Million Nodes [1] http://asert.arbornetworks.com/2009/01/two-weeks-of-conflicker-data/ . Microsoft Security Bulletin MS08-067 [2] http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx . CAIS-Alerta: Vulnerabilidade Crítica no Microsoft Windows Microsoft Security Bulletin MS08-067 http://www.rnp.br/cais/alertas/2008/ms08-067.html . Alerta de vírus sobre o worm Win32/Conficker.B http://support.microsoft.com/kb/962007/pt-br . Microsoft Malware Protection Center http://www.microsoft.com/security/portal/Entry.aspx?name=Win32%2fConficker . Blog Microsoft Malware Protection Center http://blogs.technet.com/mmpc/archive/2009/01/13/msrt-released-today-addressing-conficker-and-banload.aspx . ISC SANS Handler's Diary: Third party information on conficker http://isc.sans.org/diary.html?storyid=5860 __________________ *"Se eu ví mais longe, é por estar de pé sobre ombros de gigantes"* black hat - special events . ..:

22-02-2009, 7:41	#2 (permalink)
Regicarlos Membro Senior Registrado em: Jan 2009 Localização: João Pessoa-PB Idade: 33 Mensagens: 441 Reputação: 111	Parabéns Lord Enigm@! Excelentes explicações desta nova praga, boa didática,com certeza devemos está atentos, e sempre manter nosso PC atualizado: Antivirus,firewall,antipyware e todo o sistema, fazendo as atualizações necessárias! Um forte abraço! __________________ Ubuntu 10.04 LTS Linux user 495055. Symbian Downet:Um Blog com dicas de Aplicativos,Notícias e Tecnologia Móvel Iniciante linux,comece aqui

22-02-2009, 10:56	#3 (permalink)
Antonio Vieira S GeeK Registrado em: Jul 2008 Mensagens: 2.879 Reputação: 211	Parabéns, Lord Enigma pelas ótimas dicas. Aqui vão também outros sites com dicas para se prevenir e eliminar este Conficker: http://www.hardware.com.br/comunidad...ml#post4241101 http://social.technet.microsoft.com/...f-31e0d2d5675a http://www.hardware.com.br/comunidade/v-t/930322/ http://www.linhadefensiva.org/forum/...0&#entry444174 http://br.answers.yahoo.com/question...8094255AArGeua http://br.answers.yahoo.com/question...111AAjww3V&r=w __________________ <><><><><><><><><><><><><><><><> Caixa de Dicas = Sempre com novos tutoriais e novidades em tecnologia e variedades. Super Links = O melhor dos blogs você encontra aqui!

		FórumGdH > Software, Segurança e Mac (Apple) > Segurança: discussões, dúvidas e informações
Como identificar e remover o malware Conficker.

1. É vírus ou malware? (Resolvido)
Mais resultados? Use nossa pesquisa.

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail