Como remover o vírus Conficker

O Conficker infectou mais de 15 milhões de computadores ao redor do mundo, incluindo navios de guerra e submarinos do Ministério da Defesa do Reino Unido, 800 computadores de hospitais da Inglaterra e a Intramar (rede de computadores da Marinha da França). A Intramar entrou em quarentena, forçando a permanência de aeronaves em várias bases aéreas militares, já que seus planos de voo não puderam ser carregados.

Os sistemas que são afetados pela vulnerabilidade são:

  • Windows 2000 Service Pack (SP) 4,
  • Windows XP SP2 e SP3,
  • Windows Server 2003 SP1 e SP2,
  • Windows Vista/Server 2008 SP1.

Este exploit tornou-se conhecido hoje como Conficker. Ele também já foi referenciado como Downadup e Kido.

O Conficker explora a vulnerabilidade MS08-067 do serviço de Chamada de Procedimento Remoto [RPC], permitindo a execução remota de código em todos os computadores da rede através de compartilhamentos de arquivos e impressoras do Windows.

Atuação

Após infiltrar-se no sistema, o Conficker criará uma cópia de si mesma com um nome aleatório no diretório C:\Windows\System32 e registra a si mesmo como um serviço (assim, iniciando automaticamente durante a iniciação).

Após a infecção, o Downadup/Conficker irá escanear a rede por outras máquinas vulneráveis e quando um alvo é encontrado, o computador remoto irá baixar o worm e começará a infectar outras máquinas também. Assim, não há nenhum ponto centralizado do vírus. Após a infecção, o Conficker irá fechar a brecha que possibilitou a invasão no computador remoto para prevenir que outros worms infectem a máquina.

Todos os computadores infectados com o Conficker tentarão conectar-se a internet para atualizar o vírus a cada 3 horas, possibilitando aos autores do Conficker um mecanismo eficiente de atualizações para todos os clientes infectados.

Sinais e Sintomas da Infecção

O Conficker termina/desabilita os serviços de:

  • Central de Segurança do Windows.
  • Atualizações automáticas do Windows.
  • Windows Defender.
  • Ferramentas de segurança de terceiros (anti-vírus, firewalls, etc)
  • Exclusão de todos os pontos de restauração do sistema (impossibilitando restaurar o sistema para um ponto anterior a infecção do vírus).

    Remoção do Conficker

    Diversas empresas do segmento de segurança digital disponibilizaram ferramentas que possibilitam a remoção e detecção do vírus Conficker. Recomendo duas em especial:

A Ferramenta de Detecção do Conficker da McAfee permite escanear todos os computadores da rede interna por sinais da atuação do vírus Conficker. Apesar disso, como o site SANS e INFO Help avisam, o Conficker fecha a brecha que possibilita sua detecção. Por isso, o resultado da Ferramenta de Detecção pode não ser 100% preciso, ou poderá mostrar um computador como não infectado quando ele na verdade está.

td

Você pode executar a Ferramenta de Detecção com as opções padrões. Para iniciar o escaneamento, clique no botão > azul. Ele escaneará todos os computadores da rede interna e exibirá, na aba Status, se o computador está infectado com o vírus Conficker e com qual variação do worm.

Como a Ferramenta de Detecção da McAfee somente detecta o vírus, precisamos usar o Kido Killer para removê-lo. Após o download do Kido Killer, execute o arquivo kk.exe para iniciar a remoção.

2

O KK é executado via prompt de comando, e pode ter sua execução automatizada na rede através de um script de logon no domínio. Por padrão, ele exibe uma tela com os resultados da remoção, mas esta tela pode ser suprimida com o argumento -y. Outros argumentos podem ser usados com o KK são:

Opção Descrição
-p verificar uma pasta específica
-f verificar os discos rígidos
-n verificar discos de rede
-r verificar as unidades removíveis
-y encerrar o programa sem pressionar nenhuma tecla
-s modo silencioso (sem uma janela preta)
-l gravar informações em um log
-v manutenção estendida do log (a opção -v funcionará apenas se a opção -l for inserida no prompt de comando)
-z restaurar os serviços

  • Serviço de transferência inteligente em segundo plano (BITS),
  • Serviço de atualização automática do Windows (wuauserv),
  • Serviço de relatório de erros (ERSvc/WerSvc)
-? restaurar a exibição de arquivos do sistema ocultos
-a desativar a execução automática em todas as unidades
-help mostrar informações adicionais sobre o utilitário
-m modo de monitoramento de threads, tarefas e serviços

Prevenção do Conficker

O alastramento do worm Conficker é um sinal que todos os usuários de PC são suscetíveis e devem continuar mantendo suas instalações do Windows atualizadas com as últimas atualizações de segurança. Métodos de prevenir esta e outros tipos de infecções incluem o seguinte:

  • Instalar o Service Pack 2 para Windows Vista/Server 2008.
  • Instalar a atualização KB958644 para Windows XP SP3 e Windows Server 2003 SP2 (x86 / x64 [inglês]). Esta atualização corrige a vulnerabilidade citada no boletim MS08-067, que possibilita o ataque do worm Conficker.
  • Instalar a atualização KB967715 para Windows XP SP3/Windows Server 2003 SP2/Windows 2000.
  • Mesmo sistemas atualizados continuam a tornar-se infectados com as variantes A e B do worm. Em muitos casos, isso ocorre por que o worm é passado via discos removíveis, como pen drives, que atuam como hospedeiros ambulantes. Em quase todos os casos, um software de segurança atualizado irá detectar a ameaça antes dela ter a chance de pular do disco removível para o computador.
  • Habilite um Firewall (Windows ou de terceiros) em seu computador.
  • Limite os privilégios de usuários no computador. Dê somente os privilégios de usuário que o usuário precisa. Nunca dê permissões administrativas aos usuários tornando-os membros do grupo Administradores ou Administradores do domínio.
  • Tenha precaução ao abrir anexos de e-mail.
  • Tenha precaução ao clicar em links de páginas Web.
  • Evite o download de software pirata.

Conforme citado, pen drives, discos rígidos e inclusive unidades de rede mapeadas podem ser afetadas pelo Conficker. Uma forma de evitar a infecção pelo Conficker através destas unidades é desabilitando o AutoRun, recurso do Windows que permite a execução automática de um programa nestas unidades através do arquivo Autorun.inf.

Para desabilitar este recurso, habilite a política Desativar Reprodução Automática para Todas as unidades em Configurações do Computador > Modelos administrativos > Componentes do Windows > Diretivas de Reprodução Automática usando o Gerenciamento de Políticas de grupo (Group Policy Management) no Menu iniciar > Programas > Ferramentas administrativas (Start > Programs > Administrative Tools) na Default Domain Policy (Política Padrão do Domínio).

Conclusão

Os autores do Conficker devem ser notados por seus conhecimentos ao desenvolver este worm. Os autores demonstraram possuir conhecimento avançado em programação que inclui o uso de criptografia, obscuração de código, e profundo conhecimento de recursos internos do Windows e de ferramentas de segurança de terceiros. Eles atualizaram o Conficker com novas variantes, adaptando-o para driblar os esforços da comunidade de segurança em combatê-lo.

Um grupo de cooperação do Conficker foi formado (http://www.confickerworkinggroup.org) por parceiros da Microsoft e está pronto para emitir um alarme caso o worm seja utilizado para atividades criminosas.

  1. The Conficker Worm. SANS. https://www.sans.org/security-resources/malwarefaq/conficker-worm.php

2. Conficker – Wikipédia, a Enciclopédia Livre. https://pt.wikipedia.org/wiki/Conficker

3. Conficker – Guia definitivo de remoção. INFO Help. http://infohelp.org/thales-laray/conficker-guia-definitivo-de-remocao/

Anúncios