[SECURITY-L] CAIS-Alerta: Como identificar e remover o malware Conficker (Downadup ou Kido)
CSIRT - UNICAMP
security em unicamp.br
Ter Fev 17 08:37:03 -03 2009
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Como identificar e remover o malware Conficker (Downadup
ou Kido)
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Mon, 16 Feb 2009 17:15:07 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
o CAIS gostaria de alertar sobre o aumento no numero de incidentes
decorrentes da atividade do malware Conficker, tambem conhecido como
Downadup ou Kido, que segundo algumas fontes[1] ja infectou mais de 12
milhoes de sistemas ao redor do mundo. Este alerta visa orientar sobre o
funcionamento do malware Conficker e sobre como remove-lo.
. Como o Conficker infecta os sistemas:
O malware infecta sistemas Windows e se propaga atraves de tres vetores
principais:
1. Explorando uma vulnerabilidade no servico "Servidor" do Windows
(SVCHOST.EXE - TCP/445), cuja falha ja foi corrigida pelo alerta
MS08-067[2] da Microsoft
2. Executa ataques de força bruta contra redes compartilhadas,
tantando adivinhar a senha de acesso do administrador
3. Infecta dispositivos removiveis normalmente utilizados em diversos
computadores(pen drives, cartoes de memoria USB, etc)
. Principais acoes do Conficker no sistema:
Ao infectar um computador, o malware acessa diversas URLs na Internet em
busca de comandos a serem executados na máquina invadida (por exemplo,
roubar informacoes pessoais, enviar spams, fazer o download de outros
arquivos maliciosos, etc). Ele tambem desliga o Windows Defender e as
atualizacoes automaticas do Windows (Windows Update Service), alem de nao
permitir que o usuario do sistema acesse certas paginas de Internet que
contenham palavras como virus, malware, windowsupdate, entre outras.
. Como identificar maquinas infectadas por este malware em sua rede:
Caso voce seja adminstrador de rede, e' possivel identificar maquinas
infectadas pelo Conficker atraves dos seguintes procedimentos:
. Atente para o aumento anormal do trafego de rede em conexoes HTTP
(80/TCP), pois o Conficker utiliza este tipo de conexao para receber
instrucoes.
. Redes locais com compartilhamento de diretorios provavelmente estarao
mais lentas, dada a acao do Conficker na rede local.
. Configure em seu firewall ou proxy regras que registrem o acesso a
URLs acessadas pelo Conficker. Listas atualizadas constantemente com as
URLs que o malware tem acessado estao disponiveis em:
. Noms de domaine de Conficker / Downadup A et B et remarque surl'Autorun
http://cert.lexsi.com/weblog/index.php/2009/02/06/276-noms-de-domaine-de-conficker-downadup-a-et-b
. Configure em seu firewall ou proxy regras que registrem as
seguintes requisicoes HTTP, muito provavelmente realizadas pelo
Conficker:
GET http://[IP]/search ?q=0 HTTP/1.0"
GET http://[IP]/search ?q=1 HTTP/1.0"
GET http://[IP]/search ?q=n+1 HTTP/1.0"
. Como remover o malware:
Para remover o Conficker do sistema, pode-se utilizar alguma das seguintes
ferramentas:
. Windows Malicious Software Removal Tool
http://www.microsoft.com/security/malwareremove/default.mspx
. Ferramenta de remocao da F-secure (fabricante de anti-virus)
ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
. McAfee Avert Stinger
http://vil.nai.com/vil/stinger/
. Ferramenta de remocao da BitDefender (fabricante de anti-virus)
http://www.bitdefender.com/site/Downloads/downloadFile/1584/FreeRemovalTool
. Ferramenta de remocao da Kaspersky (fabricante de anti-virus)
http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip
IMPORTANTE: Apos remover o malware, certifique-se que:
. Seu sistema possui a correcao MS08-067 [2] instalada;
. Seu sistema, anti-virus e firewall estao atualizados e em funcionamento;
. A senha do administrador da rede local é uma senha forte contendo pelo
menos 6 caracteres, incluindo letras, numeros e caracteres especiais (@,
$, !, etc).
Mais informacoes:
. Two Weeks of Conficker Data and 12 Million Nodes [1]
http://asert.arbornetworks.com/2009/01/two-weeks-of-conflicker-data/
. Microsoft Security Bulletin MS08-067 [2]
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
. CAIS-Alerta: Vulnerabilidade Crítica no Microsoft Windows
Microsoft Security Bulletin MS08-067
http://www.rnp.br/cais/alertas/2008/ms08-067.html
. Alerta de vírus sobre o worm Win32/Conficker.B
http://support.microsoft.com/kb/962007/pt-br
. Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/Entry.aspx?name=Win32%2fConficker
. Blog Microsoft Malware Protection Center
http://blogs.technet.com/mmpc/archive/2009/01/13/msrt-released-today-addressing-conficker-and-banload.aspx
. ISC SANS Handler's Diary: Third party information on conficker
http://isc.sans.org/diary.html?storyid=5860
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iQCVAwUBSZnJUOkli63F4U8VAQEj0gP/XtaxZQntbyCs1MHzkQViiX1qsFjLorzA
db1iCRyvm7R7XkrmzdIUrYMvGDGtav0aVwMpQM4io0jpZhCWzyuzcoxC1u06O1Wv
7t6g/NyGcH0Czc2EA9P6SAceUZYt+OjDmrBeQ8BliKIP2JmPB5zk5IqqhCF4G2ea
X9PJqydCxcY=
=k8Me
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L