Blog  |  Notícias

Algumas dúvidas comuns sobre o Worm Conficker

Como o mercado num geral tem enfrentado casos de infecção pelo Worm Conficker (também conhecido como Kido e Downadup, dependendo da variante), estamos contribuindo com alguns esclarecimentos para que todos tenham melhor entendimento e possam fazer a análise correta dos acontecimentos.


Como o Conficker pode propagar-se?


O Conficker pode propagar-se de 3 diferentes maneiras:


a) Explorando uma vulnerabilidade no serviço "Servidor" do Windows (SVCHOST.EXE - TCP/445), cuja falha já foi relatada no alerta MS08-067 da Microsoft e corrigida pelo patch 958644.


b) Executando ataques de força bruta contra compartilhamentos de rede, tentando adivinhar a senha de acesso do administrador (na verdade ele tenta as 240 senhas mais comumente utilizadas). Por ser um acesso a compartilhamentos, estas tentativas de infecção normalmente utilizam a porta TCP 139 e TCP 445.


c) Infectando dispositivos de armazenamento removíveis (pen drives, cartões de memória USB, etc.).


As soluções de proteção contra códigos maliciosos não conseguem impedir a propagação e conseqüente infecção de hosts na rede?


Nos mecanismos de propagação "B" e "C" as soluções existentes no mercado conseguem agir e evitam a infecção, porém no método de infecção "A" as ferramentas são inócuas pelas características da vulnerabilidade explorada. Portanto, não há como conter a propagação deste Worm dentro da rede de uma empresa enquanto existir algum computador sem a correção aplicada (a correção foi disponibilizada em 23 de outubro de 2008 através do patch 958644 e a primeira versão deste Worm foi identificada pela MS em 21 de novembro de 2008).


Os alertas gerados nos computadores, pelas ferramentas indicando a detecção e eliminação do arquivo do Worm, significam que estes computadores foram infectados?


Não. Os alertas significam que houve uma tentativa de infecção (na maioria dos casos pelo método "B") e a ferramenta agiu excluindo o arquivo do Worm. Um computador só estará infectado se o Worm conseguir gravar e executar o agente infectante em um computador. Se isto ocorrer, uma série de ações será executada pelo Worm, como por exemplo: alteração de entradas no registro, criação de arquivos, alteração de permissões e criação de serviços.


Um computador que esteja com alguma das ferramentas de proteção instalada e atualizada pode ser infectado por este Worm?


Sim, conforme já citado na pergunta 2, nos mecanismos de propagação "B" e "C" as soluções existentes no mercado geralmente conseguem agir e evitam a infecção, porém no método de infecção "A" as ferramentas são inócuas pelas características da vulnerabilidade explorada. Portanto, não há como conter a propagação deste Worm dentro da rede de uma empresa enquanto existir algum computador sem a correção 958644 aplicada.


Se um computador estiver realmente infectado, as ferramentas de proteção conseguirão "limpá-lo"?


Não, as ferramentas de proteção contra códigos maliciosos não têm como recurso nativo a desinfecção total de um malware em um sistema. Nos processos de varredura, as ferramentas detectam e limpam arquivos infectados (ou outra ação caso não consigam limpá-los), mas não desfazem todas as ações já executadas por um código malicioso. As ferramentas têm como principal função evitar a entrada de um malware fazendo uso de mecanismos de detecção por assinatura, detecção por heurística e proteção pró-ativa (em que a ferramenta impede a ação do malware sem necessariamente detectar a sua presença). Por este motivo, os fabricantes disponibilizam ferramentas específicas de eliminação de um malware quando este atinge um determinado nível de epidemia. Estas ferramentas sim conseguem desfazer as ações executadas por um código malicioso por serem escritas para esta finalidade específica. Outra opção que mostra-se bastante eficaz é a Ferramenta de Remoção de Softwares Maliciosos da Microsoft.


Quais as ações necessárias para eliminar completamente a presença deste Worm no ambiente?


Assegurar-se que o patch 958644 está aplicado em todos os computadores que dele necessitam.


Assegurar-se que as ferramentas de proteção estejam instaladas e atualizadas em todos os computadores do ambiente.


Desinfectar todos os computadores que estejam infectados por este Worm utilizando a ferramenta de proteção contra códigos maliciosos ou a Ferramenta de Remoção de Softwares Maliciosos da Microsoft.
Deixe seus comentários
Nome:
E-mail:(não será divulgado)
Site:
Comentário:
Comentários

Nenhum Comentário para esse post, seja o primeiro!

Voltar

Assine a Newsletter

© 2017 Setrix.
Todos os direitos reservados.
Gu@pos