Segurança
Worm Conficker C
Dom 29 Mar 2009 14:03 |
- Detalhes
- Categoria: Eliminando pragas
- Atualização: Segunda, 30 Março 2009 14:15
- Autor: vovó Vicki
- Acessos: 8104
Independentemente do perigo em potencial anunciado para o dia 1º de abril de 2009, o Conficker C é um worm de altíssimo risco e deve ser eliminado assim que for detectado. Veja como fazer no "manual à mão".
Descrição do Conficker C
O Conficker C, também designado por W32/Conficker.C, Conficker.C, Downup, Downadup e Kido, é o sucessor do Conficker B++. A maioria dos programas antivírus legítimos classificam este worm como de alta periculosidade, o que significa que deve ser eliminado e mantido à distância a qualquer preço.
Este worm não causa problemas visíveis na máquina infectada, por isto é imprescindível que você tenha um programa antivírus legítimo, confiável e atualizado rastreando sua máquina em intervalos regulares. O impacto oculto mais básico do Conficker C é que ele desabilita o uso de software de segurança para preservar seu ambiente de atuação. Uma das suas características é desabilitar a atualização automática de assinaturas dos mais diversos antivírus e de bloquear o acesso a endereços de sites que oferecem serviços de segurança.
O Conficker C também é conhecido por modificar configurações de firewall e por criar arquivos corrompidos e entradas no registro (registry) da máquina contaminada. Além disto, é capaz de roubar dados pessoais e enviá-los aos atacantes remotos.
Todas as cepas (A, B e C) se propagam usando uma falha do serviço Windows Server, onde computadores infectados usam uma solicitação RPC (Remote Procedure Call - Chamada de Procedimento Remoto) especial para forçar um buffer overflow e executar um shellcode no computador alvo. O worm roda um servidor HTTP numa porta entre 1024 e 10000; o shellcode conecta de volta neste servidor HTTP para fazer o download de uma cópia do worm em formato DLL, o qual, por sua vez, ativa um serviço através do svchost.exe.
Adicionalmente, as cepas B e C se propagam colocando uma cópia do worm em meios removíveis, como Pen Drives USB, através dos quais ele infecta novos hospedeiros através do mecanismo AutoRun do Windows.
Uma vez instalado, um worm da cepa A gera diariamente uma lista de 250 nomes de domínios em 5 TLDs (Top Level Domain). Ele tenta fazer uma conexão HTTP com cada um deles esperando que um deles responda com um payload assinado digitalmente. Isto funciona como um mecanismo de atualização do worm. Para evitar que seja capturado, o payload só é descompactado se a assinatura conferir com uma chave pública RSA de 1024 bits embutida no worm. A cepa B aumenta o número de TLDs para 8 e o tamanho da chave RSA para 4096 bits.
Em fevereiro de 2009, a ICANN (Internet Corporation for Assigned Names and Numbers) e muitos registradores TLD iniciaram um trabalho em conjunto para impedir transferências e registros destes domínios. A cepa C, que apareceu logo depois deste esforço para conter o worm, tornou esta tarefa muito mais difícil (se é que possível) aumentando a lista diária para 50.000 domínios em 110 TLDs.
Eliminando o worm
Desta vez o "vermífugo" não é das coisas mais fáceis de aplicar. Um dos motivos é que, além de eliminar alguns arquivos cujos nomes são randômicos (o worm, quando se alastra, cria uma porção de nomes aleatórios), será preciso mexer no registro do Windows. Se você não tem experiência suficiente para alterar o registro, peça ajuda para alguém que entende do riscado. Ah! E não se esqueça de fazer um backup do registro para poder recompor o sistema se algo der errado.
Os arquivos que precisam ser deletados são os seguintes:
%windows%\system32\[aleatório].dll %Arquivos de programas%\Internet Explorer\[aleatório].dll %Arquivos de programas%\Movie Maker\[aleatório].dll %Documents and Settings%\%All Users%\%Dados de aplicativos%\[aleatório].dll %Temp%\[aleatório].dll %windows%\%system%\[aleatório].tmp %Temp%\[aleatório].tmp
onde %windows% é o diretório (ou pasta, como quiser) onde o Windows foi instalado e %Arquivos de programas% é o diretório onde foram instalados o IE e o Movie Maker e assim por diante. Como o nome das dlls é aleatório, o jeito é procurar por dlls cuja data seja diferente (mais recente) das dlls instaladas junto com o Windows. Todas as dlls originais costumam ter a mesma data.
As entradas que precisam ser removidas do registro são as seguintes:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random% HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DisplayName = %ServiceName% HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[random]\Parameters ServiceDll = %MalwarePath% HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random}\Parameters\”ServiceDll” = “Path to worm” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random}\”ImagePath” = %SystemRoot%\system32\svchost.exe -k netsvcs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters “TcpNumConnections” = dword:0×00FFFFFE
A eliminação manual do Conficker C nem sempre é bem sucedida porque alguns arquivos podem escapar por estarem escondidos em outros locais. Estes podem voltar a agir mais tarde.
Para maiores detalhes visite o site da F-Secure e leia sobre o W32/Downadup.AL onde também são oferecidas ferramentas para eliminação automática de várias cepas deste worm.