Preocupado com o worm Conficker? Algumas etapas simples podem protegê-lo.

 

Objetivo: Todos os usuários do Windows XP e do Windows Vista.

O worm Conficker, também conhecido como Downadup ou Kido, infectou um grande número de computadores. É difícil obter detalhes, mas os pesquisadores estimam que milhões de computadores foram infectados por essa ameaça desde janeiro. Sistemas com o Symantec Endpoint Protection ou o Symantec AntiVirus estão protegidos, pois esses produtos detectam e removem esse worm. Usuários sem proteção podem fazer o download de uma versão de avaliação do Symantec Endpoint Protection . A Symantec recomenda usar a Proteção contra ameaças à rede juntamente com a verificação antivírus do Symantec Endpoint Protection para impedir, de modo proativo, que a ameaça seja obtida por download pelo sistema.

Nova variante, Downadup.E, descoberta
Essa nova variante foi descoberta em 8 de abril de 2009. Uma detecção foi acrescentada nas definições do Rapid Release, com a seqüência numérica 93981 (8 de abril de 2009, revisão 25), como W32.Downadup. O Security Response forneceu a essa variante sua própria detecção, iniciada na seqüência 94023 do Rapid Release (9 de abril de 2009, revisão 9). Nossa análise inicial mostrou que essa variante funciona de modo semelhante à variante original W32.Downadup. Conforme observado em nosso blog, parece que essa nova variante dissemina o W32.Waledac. Uma detecção para essa amostra do W32.Waledac foi acrescentada às definições do Rapid Release com a seqüência numérica 93978 (8 de abril de 2009, revisão 22). Para obter mais informações sobre a funcionalidade dessa ameaça, consulte a descrição do Security Response, em W32.Downadup.E.

Downadup.C e April 1st
Essa nova variante da ameaça é especificamente usada para aumentar a capacidade de máquinas infectadas anteriormente. Computadores ainda infectados com uma variante anterior da família W32.Downadup farão o download de uma cópia do W32.Downadup.C para aumentar a capacidade da ameaça existente. Mais detalhes sobre a operação de versões anteriores da família Downadup são fornecidos neste documento.

Algumas das principais características do Downadup.C:
 

  • Maior possibilidade de domínio de controle e comando. As variantes originais do W32.Downadup(.B) verificam 250 domínios por dia em busca de qualquer nova atividade do controlador. Agora, a nova variante contém um algoritmo atualizado em que cada infecção do Downadup.C verifica 500 domínios aleatórios por dia de um total de 50.000 domínios aleatórios possíveis. Isso dificulta o monitoramento de todos os domínios por parte das empresas de segurança. Ao mesmo tempo, isso provavelmente dificulta também que o invasor distribua outras "instruções de ataque" a infecções do Downadup.C, pois não é possível para o invasor enviar códigos de ataque a todos os 50.000 sites. As infecções do Downadup.C não se comunicarão com esses sites antes de 1º de abril de 2009.
     
  • Introduz novas medidas contra detecções A nova variante da ameaça apresenta uma lista de strings que busca por processos em execução. Ela cancela esses processos caso encontre uma correspondência. As strings são um método de interromper o processo do antivírus e de ferramentas de depuração. Exemplos de strings pesquisadas pela ameaça incluem "wireshark," "confick," "downad," "ms08-06," e "kb958."

As versões anteriores do Downadup podem ser disseminadas de três formas diferentes:

Vetor de ataque 1: Ataque a uma vulnerabilidade do Windows
O Downadup pode infectar um computador atacando uma vulnerabilidade específica do Windows. Essa vulnerabilidade foi anunciada pela Microsoft em outubro de 2008, quando a Microsoft lançou um patch. No entanto, muitos usuários do Windows ainda não instalaram esse patch da Microsoft. Todos os usuários que não instalaram o patch estão vulneráveis ao ataque do Downadup. Um computador sem o patch pode ser infectado pelo Downadup ao conectar-se a uma rede que tenha pelo menos uma máquina infectada. Nenhum computador que tenha instalado o patch da Microsoft está suscetível a esse método de ataque específico.

Vetor de ataque 2: Compartilhamento de unidades
Em corporações, muitas pessoas compartilham arquivos com colegas ativando o recurso de "compartilhamento de unidades" do Windows. Esse recurso permite que um usuário conecte-se diretamente ao disco rígido de outro usuário para copiar e editar arquivos. O Downadup explora o compartilhamento de unidades do Windows. Após infectar um computador em uma corporação, o Downadup faz uma cópia de si mesmo em todos os compartilhamentos de unidades abertos visíveis de outros computadores da rede corporativa.

Vetor de ataque 3: Unidades USB
O Downadup também pode ser propagado de um computador para outro através de unidades USB (ex.: pen drives). Se o computador de um usuário for infectado pelo Downadup e o usuário inserir a chave USB no computador, o Downadup fará uma cópia de si mesmo para a unidade USB automaticamente. Quando a unidade USB infectada for inserida em outro computador, o Downadup será executado automaticamente através da unidade USB e infectará o novo computador.
 

Detalhes da proteção (estou protegido?)
Sim, caso esteja executando um produto Symantec Corporate AntiVirus (Symantec AntiVirus ou Symantec Endpoint Protection) ou um produto Norton AntiVirus (Norton Internet Security, Norton AntiVirus ou Norton 360) com definições de 6 de março de 2009 revisão 36 ou superior. A seguinte descrição da Symantec apresenta as assinaturas que oferecem proteção imediata contra as atuais variantes conhecidas:
 


O Sistema de proteção contra intrusões Symantec protege os clientes contra essa ameaça usando as seguintes assinaturas:
 



Medidas adicionais recomendadas

  • Instalar todos os patches do Windows disponíveis
  • Use um Sistema de proteção contra intrusões Symantec para bloquear tentativas de exploração de vulnerabilidades conhecidas (o MS08-067 era um vetor de ataque anterior para essa ameaça, que é bloqueado pela Proteção contra intrusões).
  • Use a aplicação de política do Symantec Endpoint Protection para restringir o acesso a unidades USB e desativar arquivos .inf de execução automática. Eles são normalmente usados como vetores de ataque para propagar novas ameaças.


Notas detalhadas do Symantec Protection
Os produtos de proteção de cliente Symantec têm dois níveis básicos de proteção para o Downadup:
 

  • Proteção baseada em rede
    Os produtos Symantec Corporate (Symantec Endpoint Protection e Symantec Client Security) e produtos Norton (Norton AntiVirus, Noton Internet Security e Norton 360) apresentam a tecnologia conhecida como "Sistema de proteção contra intrusões" (IPS, Intrusion Protection System). Essa tecnologia monitora o tráfego de rede de entrada e saída dos computadores-cliente. A tecnologia IPS impede que o Downadup atinja um computador, realizando a verificação de todos os dados da rede que chegam ao computador e bloqueando transmissões suspeitas que possam explorar a vulnerabilidade da Microsoft (Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability - em inglês). A proteção IPS da Symantec também interromperá tentativas do Downadup de fazer cópias de si mesmo de um computador para outro usando compartilhamentos de unidades abertos ("Vetor de ataque 2", acima).

    A proteção IPS da Symantec é um diferenciador importante nos esforços para interromper essa ameaça, pois é capaz de impedir que a ameaça atinja um computador, mesmo que este não tenha o patch instalado. Observe que a tecnologia IPS não é incluída na linha de produtos Symantec AntiVirus.
     
  • Proteção antivírus
    Todas as ofertas de segurança de clientes Symantec (Symantec Endpoint Protection, Symantec AntiVirus e Symantec Client Security) incluem assinaturas antivírus para o Downadup. As assinaturas antivírus da Symnatec são poderosas o suficiente para detectar diferentes variedades da ameaça Downadup automaticamente. A medida que novas variedades são lançadas, os clientes estão protegidos mesmo sem atualizações adicionais.



Correção: Se houver computadores infectados
 

  • Use a ferramenta de correção
    A Symantec fornece uma ferramenta de remoção autônoma para Downadup, Downadup.B e Downadup.C para ajudar os clientes infectados por essa ameaça.
     
  • Desative o bloqueio de domínio do Downadup
     Em computadores infectados, o Downadup pode bloquear a conexão com sites que lhe auxiliam, como o www.symantec.com.br. Para vencer esse comportamento, clique em Iniciar > Executar e digite:

    net stop dnscache

     Isso desativa o bloqueio e permite que você conecte-se a sites de fornecedores de segurança.


A Symantec recomenda
Execute o Symantec Endpoint Protection, o Symantec Multi-tier Protection ou o Symantec Multi-Tier Protection Small Business Edition para proteger seus endpoints dessa ameaça.
Também é possível trocar idéias e desenvolvimentos sobre o Downadup nos fóruns do SymConnect.

Blogs com detalhes sobre o Downadup e outros programas maliciosos são encontrados no Malware Blog da Symantec.




 


Imported Document ID: TECH93179
Legacy ID: 20090521131935935

Obrigado pelo seu feedback. Conte se você tem comentários adicionais abaixo. (é necessário fazer o login)

    © 1995-2019 Broadcom. All Rights Reserved. The term “Broadcom” refers to Broadcom Inc. and/or its subsidiaries.