Preocupado com o worm Conficker? Algumas etapas simples podem protegê-lo.
Objetivo: Todos os usuários do Windows XP e do Windows Vista.
O worm Conficker, também conhecido como Downadup ou Kido, infectou um grande número de computadores. É difícil obter detalhes, mas os pesquisadores estimam que milhões de computadores foram infectados por essa ameaça desde janeiro. Sistemas com o Symantec Endpoint Protection ou o Symantec AntiVirus estão protegidos, pois esses produtos detectam e removem esse worm. Usuários sem proteção podem fazer o download de uma versão de avaliação do Symantec Endpoint Protection . A Symantec recomenda usar a Proteção contra ameaças à rede juntamente com a verificação antivírus do Symantec Endpoint Protection para impedir, de modo proativo, que a ameaça seja obtida por download pelo sistema.
Nova variante, Downadup.E, descoberta
Essa nova variante foi descoberta em 8 de abril de 2009. Uma detecção foi acrescentada nas definições do Rapid Release, com a seqüência numérica 93981 (8 de abril de 2009, revisão 25), como W32.Downadup. O Security Response forneceu a essa variante sua própria detecção, iniciada na seqüência 94023 do Rapid Release (9 de abril de 2009, revisão 9). Nossa análise inicial mostrou que essa variante funciona de modo semelhante à variante original W32.Downadup. Conforme observado em nosso blog, parece que essa nova variante dissemina o W32.Waledac. Uma detecção para essa amostra do W32.Waledac foi acrescentada às definições do Rapid Release com a seqüência numérica 93978 (8 de abril de 2009, revisão 22). Para obter mais informações sobre a funcionalidade dessa ameaça, consulte a descrição do Security Response, em W32.Downadup.E.
Downadup.C e April 1st
Essa nova variante da ameaça é especificamente usada para aumentar a capacidade de máquinas infectadas anteriormente. Computadores ainda infectados com uma variante anterior da família W32.Downadup farão o download de uma cópia do W32.Downadup.C para aumentar a capacidade da ameaça existente. Mais detalhes sobre a operação de versões anteriores da família Downadup são fornecidos neste documento.
Algumas das principais características do Downadup.C:
As versões anteriores do Downadup podem ser disseminadas de três formas diferentes:
Vetor de ataque 1: Ataque a uma vulnerabilidade do Windows
O Downadup pode infectar um computador atacando uma vulnerabilidade específica do Windows. Essa vulnerabilidade foi anunciada pela Microsoft em outubro de 2008, quando a Microsoft lançou um patch. No entanto, muitos usuários do Windows ainda não instalaram esse patch da Microsoft. Todos os usuários que não instalaram o patch estão vulneráveis ao ataque do Downadup. Um computador sem o patch pode ser infectado pelo Downadup ao conectar-se a uma rede que tenha pelo menos uma máquina infectada. Nenhum computador que tenha instalado o patch da Microsoft está suscetível a esse método de ataque específico.
Vetor de ataque 2: Compartilhamento de unidades
Em corporações, muitas pessoas compartilham arquivos com colegas ativando o recurso de "compartilhamento de unidades" do Windows. Esse recurso permite que um usuário conecte-se diretamente ao disco rígido de outro usuário para copiar e editar arquivos. O Downadup explora o compartilhamento de unidades do Windows. Após infectar um computador em uma corporação, o Downadup faz uma cópia de si mesmo em todos os compartilhamentos de unidades abertos visíveis de outros computadores da rede corporativa.
Vetor de ataque 3: Unidades USB
O Downadup também pode ser propagado de um computador para outro através de unidades USB (ex.: pen drives). Se o computador de um usuário for infectado pelo Downadup e o usuário inserir a chave USB no computador, o Downadup fará uma cópia de si mesmo para a unidade USB automaticamente. Quando a unidade USB infectada for inserida em outro computador, o Downadup será executado automaticamente através da unidade USB e infectará o novo computador.
Detalhes da proteção (estou protegido?)
Sim, caso esteja executando um produto Symantec Corporate AntiVirus (Symantec AntiVirus ou Symantec Endpoint Protection) ou um produto Norton AntiVirus (Norton Internet Security, Norton AntiVirus ou Norton 360) com definições de 6 de março de 2009 revisão 36 ou superior. A seguinte descrição da Symantec apresenta as assinaturas que oferecem proteção imediata contra as atuais variantes conhecidas:
O Sistema de proteção contra intrusões Symantec protege os clientes contra essa ameaça usando as seguintes assinaturas:
Medidas adicionais recomendadas
Notas detalhadas do Symantec Protection
Os produtos de proteção de cliente Symantec têm dois níveis básicos de proteção para o Downadup:
Correção: Se houver computadores infectados
A Symantec recomenda
Execute o Symantec Endpoint Protection, o Symantec Multi-tier Protection ou o Symantec Multi-Tier Protection Small Business Edition para proteger seus endpoints dessa ameaça.
Também é possível trocar idéias e desenvolvimentos sobre o Downadup nos fóruns do SymConnect.
Blogs com detalhes sobre o Downadup e outros programas maliciosos são encontrados no Malware Blog da Symantec.
A assinatura fornecerá atualizações por e-mail quando este Artigo for atualizado. Login é necessário.
11.0
This will clear the history and restart the chat.
Obrigado pelo seu feedback. Conte se você tem comentários adicionais abaixo. (é necessário fazer o login)