[SECURITY-L] CAIS-Alerta: O worm Conficker e o dia 1 de abril

CSIRT - UNICAMP security em unicamp.br
Ter Mar 31 09:49:25 -03 2009 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: O worm Conficker e o dia 1 de abril
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Mon, 30 Mar 2009 17:51:28 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O worm Conficker, também conhecido como Downadup, surgiu em novembro de 
2008. Entretanto, somente nas últimas semanas ganhou a atenção da mídia 
devido à proximidade de 1 de abril, uma data que desencadeia certas 
atividades do worm.

Casos de worms que tem uma data como gatilho são muitos, mesmo que 
historicamente poucos deles tenham efetivamente causado algum efeito 
notável. Há muitos worms que causam mais danos, mas os worms com datas 
relacionadas tem um apelo especial com na mídia.

É bom lembrar que a data 1 de abril é também o Dia da Mentira, data que 
não é comemorada apenas no Brasil. Todos os anos surgem diversas notícias, 
histórias, produtos e serviços fictícios divulgados na Internet, 
especialmente relacionados com tecnologia.

O principal objetivo deste alerta é enfatizar as características técnicas 
deste worm, não deixando dúvidas sobre o que realmente pode acontecer em 1 
de abril. Outro objetivo deste alerta é enfatizar a importância de boas 
práticas de segurança e tratamento de incidentes. Não há razão para pânico 
se a rede está livre deste e de outros vírus.

A seguir apresentamos um breve resumo da atividade do worm Conficker no 
backbone RNP. O único fato no momento é que este worm tem se propagado com 
sucesso. Na sequência apresentamos um resumo de perguntas e respostas 
frequentes sobre o worm que esclarecem a relação com 1 de abril. Por fim, 
separamos uma seleção de referências essenciais sobre este worm, incluindo 
ferramentas de remoção recomendadas.


PROPAGAÇÃO DO CONFICKER NA RNP
PERGUNTAS E RESPOSTAS MAIS FREQUENTES
MAIS INFORMAÇÕES


PROPAGAÇÃO DO CONFICKER NA RNP

Dentro da rede da RNP, o CAIS identificou neste ano níveis alarmantes de
infecção em consequência da ação do worm Conficker.

Somente em Janeiro e Fevereiro de 2009 o CAIS já enviou 20.451 
notificações reportando problemas em sistemas que utilizam a rede da RNP, 
o que corresponde a quase 57% do total de incidentes notificados em 2008, 
35.939 incidentes. Destes 20.451 incidentes, cerca de 70% correspondem à 
infecções pelo vírus Conficker na rede Ipê.


PERGUNTAS E RESPOSTAS MAIS FREQUENTES

Para responder de maneira mais objetiva possível as perguntas mais 
frequentes sobre este worm e sobre a data 1 de abril traduzimos os 
principais trechos de um post de 26 de março do blog "F-Secure Weblog". 
Agradecemos a Mikko H. Hypponen, Chief Research Officer da F-Secure, por 
autorizar a tradução.

P: Ouvi falar que alguma coisa realmente ruim vai acontecer na Internet
em 1 de abril! Realmente vai?
R: Não, na verdade não. O Conficker vai mudar um pouco seu comportamento, 
mas é improvável que ele cause qualquer efeito visível no dia 1 de abril.

P: Então o que este worm fará em 1 de abril?
R: Até o momento o Conficker tem consultado 250 domínios diferentes
todos os dias para realizar o download e executar um programa de
atualização. Em 1 de abril a última versão de Conficker vai começar a
consultar 500 domínios de um conjunto de 50 mil domínios por dia para
executar as mesmas operações.

P: Como assim, última versão do Conficker? Há versões diferentes?
R: Sim, e a última versão não é a mais comum. A maioria das máquinas
infectadas foi infectada pela variante B, que se disseminou no
início de janeiro. Com a variante B nada acontece em 1 de abril.

P: Acabei de verificar e constatei que minha máquina Windows está
limpa. Alguma coisa vai acontecer em 1 de abril?
R: Não.

P: Uso Mac, alguma coisa vai acontecer em meu computador?
R: Não.

P: Então isto significa que os atacantes podem usar este canal de download
para executar qualquer programa em todas as máquinas?
R: Sim, em todas as maquinas que estejam infectadas com a última
versão do worm.

P: E sobre esta funcionalidade peer-to-peer (P2P) de que ouvi falar?
R: O worm tem alguma funcionalidade peer-to-peer (P2P), o que significa
que computadores infectados podem se comunicar entre si sem a necessidade
de um servidor. Isto permite que o worm atualize a si mesmo sem a
necessidade de utilizar nenhum dos 250 ou 50 mil domínios.

P: Mas isto não significa que, se os atacantes quiserem executar
alguma coisa nestas máquinas, eles não precisam esperar por 1 de
abril?
R: Sim! Esta é outra razão pela qual é improvável que qualquer coisa
significativa aconteça em 1 de abril.

P: A mídia irá exagerar sobre este worm?
R: Sim, certamente vai. Sempre há "hype" quando um worm que se espalha muito
tem uma data como gatilho de propagação. Pense em casos como Michelangelo
(1992), CIH (1999), Sobig (2003), Mydoom (2004) e Blackworm (2006).

P: Mas nestes casos nada demais aconteceu mesmo que todos estivessem
esperando que alguma acontecesse!
R: Exatamente.

P: Então devo manter meu PC desligado em 1 de abril?
R: Não. Você deve ter certeza de que ele esteja limpo antes de 1 de
abril.

P: Eu posso mudar a data na minha máquina para me proteger?
R: Não. O worm usa o horário local do seu computador para certas
partes da funcionalidade de atualização, mas não utiliza
exclusivamente esta fonte de horário.

P: Estou confuso. Como você pode saber de antemão que acontecerá um
ataque global de vírus em 1 de abril? Deve haver uma conspiração nisso!
R: Sim, você está confuso. Não acontecerá um ataque global de vírus. As
máquinas que já estão infectadas podem fazer algo de novo em 1 de abril.
A F-Secure sabe disto porque realizou a engenharia reversa do código
do worm e pode ver que é isto que ele foi programado para fazer.

P: O programa copiado seria executado com privilégios de
administrador?
R: Sim, com os direitos de administrador local, o que não é nada bom.

P: E eles podem realizar download daquele programa não apenas em 1 de
abril mas também em qualquer dia depois disso?
R: Correto. Desta forma, não há razão pela qual eles não possam fazer
isto, digamos, em 5 de abril em vez de 1 de abril.

P: OK, eles podem executar qualquer programa. Para fazer o que?
R: A F-Secure não sabe o que eles estão planejando fazer, ou se estão
planejando alguma coisa. É claro que eles podem roubar seus dados,
enviar spam, realizar ataques DDoS (Distributed Denial of Service), etc.
Mas a F-Secure não sabe.

P: Eles? Quem são eles? Quem está por trás deste worm?
R: A F-Secure não sabe nada sobre isto também. Mas eles parecem ser
bem profissionais no que eles fazem.

P: Profissionais? É verdade que o Conficker está usando o algoritmo de
hash MD6?
R: Sim. Este foi um dos primeiros casos reais de aplicação deste novo
algoritmo.

P: Por que vocês não podem simplesmente infectar um PC, alterar a data
para 1 de abril e ver o que acontece?
R: Não é assim que o worm funciona. O worm se conecta a certos websites para
obter o dia e horário.

P: Verdade? Então apenas desative os websites de onde ele obtém o dia
e horário e o problema vai embora!
R: Não é possível. São websites como google.com, yahoo.com e facebook.com.

P: Mas a F-Secure poderia com certeza forjar google.com em um
laboratório para fazer com que uma maquina infectada conecte-se a um
site de download hoje!
R: Com certeza. E não há nada para ser copiado dos sites de
download hoje. Pode ser que haja alguma coisa em 1 de abril, pode ser
que não haja coisa alguma.

P: Agora estou preocupado. Como sei se estou infectado?
R: Visite http://www.f-secure.com, por exemplo. Se você não consegue abrir o
site então seu computador pode estar infectado com Downadup/Conficker. Este
worm bloqueia o acesso a websites de fornecedores de produtos de segurança.

P: De onde vem o nome "Conficker"?
R: Conficker é uma variação do nome "trafficconverter", um
website no qual a primeira variante do worm se conectava.

P: Por que o worm tem dois nomes, Downadup and Conficker?
R: Ele foi encontrado quase simultaneamente por várias empresas de
segurança, esta é a razão da existência de mais de um nome para o mesmo
worm. Hoje a maioria das empresas usa o nome Conficker. Há ainda uma
confusão sobre as letras de variantes do worm.

P. Quantos computadores estão atualmente infectados por Downadup/Conficker?
R: Aproximadamente 1-2 milhões de acordo com a F-Secure. A empresa não tem
um número exato, deste conjunto de 1-2 milhões, de máquinas que estejam
infectadas pela última versão do worm.

P: Como a indústria está reagindo a tudo isto?
R: A indústria reagiu formando o "Conficker Working Group". Os
membros deste grupo incluem fornecedores de produtos de segurança,
órgãos de domínio (registrars), pesquisadores e outros.

P: Gostaria de mais detalhes técnicos sobre o worm.
R: Na seção "Mais informações" você pode encontrar a descrição do worm. Há
também um artigo excelente da SRI International, listado na mesma seção.

P: Quando foi descoberta a primeira variante de Downadup/Conficker?
R: Foi descoberto em 20 de novembro de 2008.

P: Foi descoberto há mais de 4 meses atrás? Gostaria de uma linha do
tempo que mostre os eventos relacionados ao Conficker no decorrer do tempo.
R: Byron Acohido tem uma linha do tempo em seu blog, The Last Watchdog. O
post está listado na seção "Mais informações".

P: Existe uma ferramenta de remoção disponível?
R: Há diversas ferramentas de remoção disponíveis. O CAIS recomenda as
ferramentas da F-Secure, Kaspersky e McAfee, relacionadas na seção "Mais
informações".


MAIS INFORMAÇÕES

. Conficker Working Group
  http://www.confickerworkinggroup.org/wiki/

. Questions and Answers: Conficker and April 1st (F-Secure Weblog)
  http://www.f-secure.com/weblog/archives/00001636.html

. SANS ISC Handler's Diary 2009-03-29: April 1st - What Will Really Happen?
  http://isc.sans.org/diary.html?storyid=6091

. An Analysis of Conficker C (SRI International)
  http://mtc.sri.com/Conficker/addendumC/index.html

. Descrição: Worm:W32/Downadup.DY (F-Secure)
  http://www.f-secure.com/v-descs/worm_w32_downadup_dy.shtml

. Ferramenta de remoção F-Secure
  http://support.f-secure.com/enu/home/onlineservices/fsec/fsec.shtml

. Ferramenta de remoção Kaspersky
  http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.3.3.zip

. Ferramenta de remoção McAfee
  http://vil.nai.com/vil/stinger/

. SANS ISC Handler's Diary 2009-03-13: Third party information on conficker
  http://isc.sans.org/diary.html?storyid=5860

. The evolution of an extraordinary globe-spanning worm (Blog The LastWatchdog)
  http://lastwatchdog.com/evolution-conficker-globe-spanning-worm/


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as últimas versões e 
correções oferecidas pelos fabricantes.


Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANÇA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponível   http://www.rnp.br/cais/cais-pgp.key   #
################################################################

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBSdEw3ekli63F4U8VAQFGgAP/VGeJ5P+KiN3gwWVvkWN+gDTVivB78GON
2jur/HEKNf69KW4INEzLCTa1FWdQr4cxUq6HdSqkUlK73Dw4I2wq6TswiPjmSL8A
9uu6qnajW2b7KnjsntkqEYW6nE0QbO/QXElZ66OYpLQift/dlIpZ+uRF7Ued2/9b
OQlTP5Lnb6A=
=+DdX
-----END PGP SIGNATURE-----

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L