Como remover o vírus Conficker

O Conficker infectou mais de 15 milhões de computadores ao redor do mundo, incluindo navios de guerra e submarinos do Ministério da Defesa do Reino Unido, 800 computadores de hospitais da Inglaterra e a Intramar (rede de computadores da Marinha da França). A Intramar entrou em quarentena, forçando a permanência de aeronaves em várias bases aéreas militares, já que seus planos de voo não puderam ser carregados.

Os sistemas que são afetados pela vulnerabilidade são:

  • Windows 2000 Service Pack (SP) 4,
  • Windows XP SP2 e SP3,
  • Windows Server 2003 SP1 e SP2,
  • Windows Vista/Server 2008 SP1.

Este exploit tornou-se conhecido hoje como Conficker. Ele também já foi referenciado como Downadup e Kido.

O Conficker explora a vulnerabilidade MS08-067 do serviço de Chamada de Procedimento Remoto [RPC], permitindo a execução remota de código em todos os computadores da rede através de compartilhamentos de arquivos e impressoras do Windows.

Atuação

Após infiltrar-se no sistema, o Conficker criará uma cópia de si mesma com um nome aleatório no diretório C:\Windows\System32 e registra a si mesmo como um serviço (assim, iniciando automaticamente durante a iniciação).

Após a infecção, o Downadup/Conficker irá escanear a rede por outras máquinas vulneráveis e quando um alvo é encontrado, o computador remoto irá baixar o worm e começará a infectar outras máquinas também. Assim, não há nenhum ponto centralizado do vírus. Após a infecção, o Conficker irá fechar a brecha que possibilitou a invasão no computador remoto para prevenir que outros worms infectem a máquina.

Todos os computadores infectados com o Conficker tentarão conectar-se a internet para atualizar o vírus a cada 3 horas, possibilitando aos autores do Conficker um mecanismo eficiente de atualizações para todos os clientes infectados.

Sinais e Sintomas da Infecção

O Conficker termina/desabilita os serviços de:

  • Central de Segurança do Windows.
  • Atualizações automáticas do Windows.
  • Windows Defender.
  • Ferramentas de segurança de terceiros (anti-vírus, firewalls, etc)
  • Exclusão de todos os pontos de restauração do sistema (impossibilitando restaurar o sistema para um ponto anterior a infecção do vírus).

    Remoção do Conficker

    Diversas empresas do segmento de segurança digital disponibilizaram ferramentas que possibilitam a remoção e detecção do vírus Conficker. Recomendo duas em especial:

A Ferramenta de Detecção do Conficker da McAfee permite escanear todos os computadores da rede interna por sinais da atuação do vírus Conficker. Apesar disso, como o site SANS e INFO Help avisam, o Conficker fecha a brecha que possibilita sua detecção. Por isso, o resultado da Ferramenta de Detecção pode não ser 100% preciso, ou poderá mostrar um computador como não infectado quando ele na verdade está.

td

Você pode executar a Ferramenta de Detecção com as opções padrões. Para iniciar o escaneamento, clique no botão > azul. Ele escaneará todos os computadores da rede interna e exibirá, na aba Status, se o computador está infectado com o vírus Conficker e com qual variação do worm.

Como a Ferramenta de Detecção da McAfee somente detecta o vírus, precisamos usar o Kido Killer para removê-lo. Após o download do Kido Killer, execute o arquivo kk.exe para iniciar a remoção.

2

O KK é executado via prompt de comando, e pode ter sua execução automatizada na rede através de um script de logon no domínio. Por padrão, ele exibe uma tela com os resultados da remoção, mas esta tela pode ser suprimida com o argumento -y. Outros argumentos podem ser usados com o KK são:

Opção Descrição
-p verificar uma pasta específica
-f verificar os discos rígidos
-n verificar discos de rede
-r verificar as unidades removíveis
-y encerrar o programa sem pressionar nenhuma tecla
-s modo silencioso (sem uma janela preta)
-l gravar informações em um log
-v manutenção estendida do log (a opção -v funcionará apenas se a opção -l for inserida no prompt de comando)
-z restaurar os serviços

  • Serviço de transferência inteligente em segundo plano (BITS),
  • Serviço de atualização automática do Windows (wuauserv),
  • Serviço de relatório de erros (ERSvc/WerSvc)
-? restaurar a exibição de arquivos do sistema ocultos
-a desativar a execução automática em todas as unidades
-help mostrar informações adicionais sobre o utilitário
-m modo de monitoramento de threads, tarefas e serviços

Prevenção do Conficker

O alastramento do worm Conficker é um sinal que todos os usuários de PC são suscetíveis e devem continuar mantendo suas instalações do Windows atualizadas com as últimas atualizações de segurança. Métodos de prevenir esta e outros tipos de infecções incluem o seguinte:

  • Instalar o Service Pack 2 para Windows Vista/Server 2008.
  • Instalar a atualização KB958644 para Windows XP SP3 e Windows Server 2003 SP2 (x86 / x64 [inglês]). Esta atualização corrige a vulnerabilidade citada no boletim MS08-067, que possibilita o ataque do worm Conficker.
  • Instalar a atualização KB967715 para Windows XP SP3/Windows Server 2003 SP2/Windows 2000.
  • Mesmo sistemas atualizados continuam a tornar-se infectados com as variantes A e B do worm. Em muitos casos, isso ocorre por que o worm é passado via discos removíveis, como pen drives, que atuam como hospedeiros ambulantes. Em quase todos os casos, um software de segurança atualizado irá detectar a ameaça antes dela ter a chance de pular do disco removível para o computador.
  • Habilite um Firewall (Windows ou de terceiros) em seu computador.
  • Limite os privilégios de usuários no computador. Dê somente os privilégios de usuário que o usuário precisa. Nunca dê permissões administrativas aos usuários tornando-os membros do grupo Administradores ou Administradores do domínio.
  • Tenha precaução ao abrir anexos de e-mail.
  • Tenha precaução ao clicar em links de páginas Web.
  • Evite o download de software pirata.

Conforme citado, pen drives, discos rígidos e inclusive unidades de rede mapeadas podem ser afetadas pelo Conficker. Uma forma de evitar a infecção pelo Conficker através destas unidades é desabilitando o AutoRun, recurso do Windows que permite a execução automática de um programa nestas unidades através do arquivo Autorun.inf.

Para desabilitar este recurso, habilite a política Desativar Reprodução Automática para Todas as unidades em Configurações do Computador > Modelos administrativos > Componentes do Windows > Diretivas de Reprodução Automática usando o Gerenciamento de Políticas de grupo (Group Policy Management) no Menu iniciar > Programas > Ferramentas administrativas (Start > Programs > Administrative Tools) na Default Domain Policy (Política Padrão do Domínio).

Conclusão

Os autores do Conficker devem ser notados por seus conhecimentos ao desenvolver este worm. Os autores demonstraram possuir conhecimento avançado em programação que inclui o uso de criptografia, obscuração de código, e profundo conhecimento de recursos internos do Windows e de ferramentas de segurança de terceiros. Eles atualizaram o Conficker com novas variantes, adaptando-o para driblar os esforços da comunidade de segurança em combatê-lo.

Um grupo de cooperação do Conficker foi formado (http://www.confickerworkinggroup.org) por parceiros da Microsoft e está pronto para emitir um alarme caso o worm seja utilizado para atividades criminosas.

  1. The Conficker Worm. SANS. https://www.sans.org/security-resources/malwarefaq/conficker-worm.php

2. Conficker – Wikipédia, a Enciclopédia Livre. https://pt.wikipedia.org/wiki/Conficker

3. Conficker – Guia definitivo de remoção. INFO Help. http://infohelp.org/thales-laray/conficker-guia-definitivo-de-remocao/

Instalador offline do Avira Free Antivirus (PT-BR)

A nova moda agora é disponibilizar todos os instaladores de modo on-line, ou seja, você baixa um pequeno arquivo que baixa apenas o que o usuário precisa.

Isso é bom para a população em geral, já que facilita o processo de instalação dos programas.

Mas para técnicos de informática ou quem possui internet lenta isso é ruim por 2 motivos:

1 – Se houver mais de um computador em casa, baixar o programa novamente pode ser demorado caso o programa seja muito pesado e a internet não ajude,

2 – Nem sempre possuímos acesso a internet e, sem ela, não conseguimos instalar o programa.

Justamente por estes motivos, procuro possuir apenas instaladores off-line em mãos. E com o Avira não é diferente. A versão off-line pode ser encontrada em:

http://www.avira.com/pt-br/download/product/avira-free-antivírus

No final da página, selecione a opção Avira Free Antivírus 14

Arquivos de instalação do Produto Avira

Como remover Barras de ferramentas no Internet Explorer e Google Chrome

Ás vezes encontro em computadores de clientes barras de extensão e outros “penduricalhos” nos navegadores que, de acordo com eles, apareceram do “nada”. De fato, a culpa não é deles, mas de instalar programas apenas apertando Next, Next, Next… e acabamos, por descuido, instalando estas tralhas.

Removê-las é um martírio! Algumas não possuem desinstalador (como o Navegaki) ou, quando possuem desinstalador, não saem por completo (como a Hao123)!

Apesar deste post ser focado nestas duas, em geral funciona para outras barras, como o Bing, Google, Ask…

Removendo usando o AdwCleaner

O AdwCleaner é uma ferramenta que permite a remoção automática de barras de ferramentas e extensões instaladas sem nosso consentimento. Ele é atualizado periodicamente, incluindo novas técnicas de remoção a medida que novos programas, barras de ferramentas e extensões maliciosas são lançadas.

Ele pode ser encontrado no site ToolsLib.

Após o download, execute o programa. Será necessário concordar com os termos de uso do programa.

adwcleaner-termos

Na primeira tela, clique em Verificar para iniciar o escaneamento por barras de ferramentas e extensões indesejadas.

adwcleaner-verificarApós a verificação, será exibida uma lista (dividida por abas) exibindo todas as ameaças encontradas. É importante verificar a lista sempre, principalmente em computadores que usam internet 3G: por algum motivo, o discador da Claro é identificado como uma ameaça pelo aplicativo.

adwcleaner-limpar

Ao clicar em Limpar, o AdwCleaner informará que precisará fechar todos os programas abertos para realizar a limpeza. Salve todos os seus documentos antes de continuar e clique em OK para iniciar a remoção.

Após a remoção dos itens, o AdwCleaner pedirá para reiniciar o computador para finalizar a limpeza.

Removendo manualmente pelo Adicionar/Remover Programas (ou Programas e Recursos) do Painel de Controle

O primeiro modo de removermos estas tralhas é pelo Adicionar ou Remover Programas do Windows (no Windows Vista+, usamos o Programas e Recursos).

Abra o Painel de Controle, procure na lista por Adicionar ou Remover Programas (ou Programas e Recursos) e procure na lista a barra de ferramentas. Nele, selecione a opção Remover.

Removendo Ask do NavegadorCom isso, a barra deve sumir. Caso não encontre o programa na lista ou ele (a barra, página inicial ou provedor de busca) continue no computador após a desinstalação, precisamos removê-los manualmente!

Restaurando a Página Inicial do Internet Explorer e Google Chrome manualmente

Para podermos corrigir este problema, precisamos EXCLUIR o atalho que está com problemas e substituí-lo! Para excluí-lo, dê botão direito no atalho e selecione Desafixar.

ScreenShot012Agora, precisamos entrar no diretório de instalação onde se encontra o executável do navegador e arrastá-lo para a barra de tarefas. Não usamos um atalho do Menu iniciar ou da Área de trabalho por que, diferente dos atalhos, o executável não pode ser alterado diretamente pelas barras de ferramentas.

Os diretórios de instalação padrão dos navegadores são:

C:\Arquivo de Programas (x86)\Internet Explorer

 

C:\Arquivo de Programas (x86)\Google\Chrome\Application

 

Após encontrar o executável, precisamos apenas arrastá-lo até a barra de tarefas para que eles se fixem novamente.

ScreenShot013
Para voltarmos a usar o Google (ou outra página padrão) no Internet Explorer, pressione <ALT> e entre no menu Ferramentas > Opções da Internet. Na aba “Geral”, digite no campo a página que você deseja usar como padrão.

Mudando página inicialNo Google Chrome, você precisa entrar em config-google-chrome > Configurações.

Em Iniciação, você pode selecionar três opções (auto indicativas).

Mudar página de iniciaçãoPara o post, selecionei a última opção para que, toda vez que abra o Chrome, abra as páginas selecionadas em Configurar página.

Nela, abrirá uma nova janela. Á medida que digitamos o Endereço, o Google Chrome completa o endereço caso você já tenha acessado o site, como pode ser visto na imagem abaixo:

Mudando a página Inicial do Google Chrome

Nota: Caso não possa mudar a página inicial, leia a nota Google Chrome e Políticas de grupo no final do post.

Removendo Barras de Ferramentas manualmente

Para desabilitarmos barras de ferramentas no Internet Explorer, precisamos pressionar a tecla <ALT>, clicar em Ferramentas > Gerenciar Complementos. 

Gerenciar Complementos

Na lista, entre em Barras de Ferramentas e Extensões e clique em Desabilitar. Na foto abaixo, desabilitamos a Barra de ferramentas do Google:

Desabilitando a Google Toolbar no IE

No Google Chrome, dê clique em config-google-chrome > Ferramentas > Extensões.

uninstall_chrome_step_3(Reprodução / DealPly)

Na lista, selecione “Desabilitar” ou “Desinstalar“.

uninstall_chrome_step_4(Reprodução / DealPly)

Restaurando o provedor de busca do Internet Explorer e do Google Chrome

O Provedor de busca é aquele que usamos na barra de endereços. Á medida que vamos digitando aparecem sugestões e, ao pressionarmos <ENTER>, ele redireciona para a página de busca.

Em geral, as barras instaladas também mudam o Provedor de busca para que redirecionem para os resultados delas para que as pessoas possam clicar nos anúncios e eles ganharem dinheiro.

Para voltarmos a usar o Google (ou outro provedor) no Internet Explorer pressione <ALT>, clique em Ferramentas > Gerenciar Complementos. 

Gerenciar Complementos

Clique, na barra lateral esquerda, a opção Provedores de pesquisa. Na lista, selecione o provedor de buscas que você deseja usar como padrão. Recomendo marcar a caixa Impedir que programas sugiram alterações no meu provedor de busca padrão para que novos programas instalados não mudem o provedor de busca.

ScreenShot011Para mudarmos o provedor de pesquisa padrão no Google Chrome, clique em config-google-chrome > Configurações.

Na página de Configurações, procure por Pesquisa. Nela, clique no botão Gerenciar mecanismos de pesquisa.

ScreenShot015

Selecione na lista o provedor de pesquisa padrão que você deseja usar e clique em Tornar padrão.

ScreenShot014

Google Chrome e Políticas de grupo

Algumas Barras de Ferramentas, para não serem removidas, usam GPO para impedir alterações na configuração do Chrome.

Uma GPO, ou Group Policy Object, é uma política de grupo usada por Administradores de rede para impedir que usuários alterem certas configurações no computador. Caso você use um computador na Faculdade, Curso ou Lan House, notará que você não tem acesso há certas funções, como acessar o Painel de Controle ou Remover programas. Isso ocorre por que há uma política de grupo para os computadores do local, de forma a preservá-lo de alterações que podem torná-lo inutilizável.

Mas assim como uma GPO pode ser utilizada para o bem, pode ser utilizada para o mal, impedindo alterações que, por direito, deveríamos ter acesso.

Para remover a GPO, pressione as teclas Windows + R e digite regedit. Pressione <ENTER>.

Abrindo o RegeditUse a barra lateral esquerda e procure pela chave:

  • HKEY_LOCAL_MACHINE
    • Software
      • Policies

Na lista, procure pela subchave Google, selecione-a e pressione a tecla <DELETE>. Perguntará se você deseja continuar. Clique em Sim.

ScreenShot016Com isso, todas as GPOs ligadas aos produtos da Google serão removidas e assim você poderá trocar o provedor de buscas padrão.

Caso a busca padrão não possa ser removida, o melhor seria restaurar o Google Chrome para as configurações padrões. Para isso, remova o diretório %USERPROFILE%\AppData\Chrome\User data.