[SECURITY-L] CAIS-Alerta: Como identificar e remover o malware Conficker (Downadup ou Kido)

CSIRT - UNICAMP security em unicamp.br
Ter Fev 17 08:37:03 -03 2009 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Como identificar e remover o malware Conficker (Downadup
 ou Kido)
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Mon, 16 Feb 2009 17:15:07 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----

Prezados,

o CAIS gostaria de alertar sobre o aumento no numero de incidentes 
decorrentes da atividade do malware Conficker, tambem conhecido como 
Downadup ou Kido, que segundo algumas fontes[1] ja infectou mais de 12 
milhoes de sistemas ao redor do mundo. Este alerta visa orientar sobre o 
funcionamento do malware Conficker e sobre como remove-lo.


. Como o Conficker infecta os sistemas:

O malware infecta sistemas Windows e se propaga atraves de tres vetores 
principais:

1. Explorando uma vulnerabilidade no servico "Servidor" do Windows
   (SVCHOST.EXE - TCP/445), cuja falha ja foi corrigida pelo alerta
   MS08-067[2] da Microsoft
2. Executa ataques de força bruta contra redes compartilhadas, 
   tantando adivinhar a senha de acesso do administrador
3. Infecta dispositivos removiveis normalmente utilizados em diversos 
   computadores(pen drives, cartoes de memoria USB, etc)


. Principais acoes do Conficker no sistema:

Ao infectar um computador, o malware acessa diversas URLs na Internet em 
busca de comandos a serem executados na máquina invadida (por exemplo, 
roubar informacoes pessoais, enviar spams, fazer o download de outros 
arquivos maliciosos, etc). Ele tambem desliga o Windows Defender e as 
atualizacoes automaticas do Windows (Windows Update Service), alem de nao 
permitir que o usuario do sistema acesse certas paginas de Internet que 
contenham palavras como virus, malware, windowsupdate, entre outras.


. Como identificar maquinas infectadas por este malware em sua rede:

Caso voce seja adminstrador de rede, e' possivel identificar maquinas
infectadas pelo Conficker atraves dos seguintes procedimentos:

. Atente para o aumento anormal do trafego de rede em conexoes HTTP
  (80/TCP), pois o Conficker utiliza este tipo de conexao para receber
  instrucoes.

. Redes locais com compartilhamento de diretorios provavelmente estarao
  mais lentas, dada a acao do Conficker na rede local.

. Configure em seu firewall ou proxy regras que registrem o acesso a
  URLs acessadas pelo Conficker. Listas atualizadas constantemente com as
  URLs que o malware tem acessado estao disponiveis em:

   . Noms de domaine de Conficker / Downadup A et B et remarque surl'Autorun
     http://cert.lexsi.com/weblog/index.php/2009/02/06/276-noms-de-domaine-de-conficker-downadup-a-et-b

. Configure em seu firewall ou proxy regras que registrem as
  seguintes requisicoes HTTP, muito provavelmente realizadas pelo
  Conficker:

  GET http://[IP]/search ?q=0 HTTP/1.0"
  GET http://[IP]/search ?q=1 HTTP/1.0"
  GET http://[IP]/search ?q=n+1 HTTP/1.0"


. Como remover o malware:

Para remover o Conficker do sistema, pode-se utilizar alguma das seguintes
ferramentas:

. Windows Malicious Software Removal Tool
  http://www.microsoft.com/security/malwareremove/default.mspx

. Ferramenta de remocao da F-secure (fabricante de anti-virus)
  ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

. McAfee Avert Stinger
  http://vil.nai.com/vil/stinger/

. Ferramenta de remocao da BitDefender (fabricante de anti-virus)
  http://www.bitdefender.com/site/Downloads/downloadFile/1584/FreeRemovalTool

. Ferramenta de remocao da Kaspersky (fabricante de anti-virus)
  http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip

IMPORTANTE: Apos remover o malware, certifique-se que:
. Seu sistema possui a correcao MS08-067 [2] instalada;
. Seu sistema, anti-virus e firewall estao atualizados e em funcionamento;
. A senha do administrador da rede local é uma senha forte contendo pelo
  menos 6 caracteres, incluindo letras, numeros e caracteres especiais (@,
  $, !, etc).


Mais informacoes:

. Two Weeks of Conficker Data and 12 Million Nodes [1]
  http://asert.arbornetworks.com/2009/01/two-weeks-of-conflicker-data/

. Microsoft Security Bulletin MS08-067 [2]
  http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

. CAIS-Alerta: Vulnerabilidade Crítica no Microsoft Windows
  Microsoft Security Bulletin MS08-067
  http://www.rnp.br/cais/alertas/2008/ms08-067.html

. Alerta de vírus sobre o worm Win32/Conficker.B
  http://support.microsoft.com/kb/962007/pt-br

. Microsoft Malware Protection Center
  http://www.microsoft.com/security/portal/Entry.aspx?name=Win32%2fConficker

. Blog Microsoft Malware Protection Center
  http://blogs.technet.com/mmpc/archive/2009/01/13/msrt-released-today-addressing-conficker-and-banload.aspx

. ISC SANS Handler's Diary: Third party information on conficker
  http://isc.sans.org/diary.html?storyid=5860


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBSZnJUOkli63F4U8VAQEj0gP/XtaxZQntbyCs1MHzkQViiX1qsFjLorzA
db1iCRyvm7R7XkrmzdIUrYMvGDGtav0aVwMpQM4io0jpZhCWzyuzcoxC1u06O1Wv
7t6g/NyGcH0Czc2EA9P6SAceUZYt+OjDmrBeQ8BliKIP2JmPB5zk5IqqhCF4G2ea
X9PJqydCxcY=
=k8Me
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L