O Conficker, denominado W32/Conficker.worm, começou a infectar sistemas no final de 2008 explorando uma vulnerabilidade no Microsoft Windows. Desde então, a duas outras variantes deste worm e muitos binários, arquivos prontos para se carregar em memórias e serem executados, que carregam a carga mal-intencionada do worm.
A Microsoft criou um patch de segurança para a vulnerabilidade que a família dos Confickers tem usado para se propagar. Contudo, muitos usuários continuam se preocupando com a infecção. As informações abaixo ajudarão a entender mais sobre o worm, os passos que podem ser tomados para limpar um sistema infectado e as medidas para evitar a reinfecção.
Os sintomas da infecção pelo Conficker incluem o seguinte:
- Usuários bloqueados fora do diretório
- O tráfego é enviado por meio da porta 445 em servidores de serviço fora do diretório (DS)
- Acesso negado a unidades compartilhadas pelo administrador
- Arquivos Autorun.inf são colocados no diretório reciclado ou na lixeira
Aconselhamos que os clientes sigam os seguintes passos para remover o W32/Conficker.worm e evitar que ele se espalhe:
- Instale o Microsoft Security Update MS08-067:http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- Limpe os sistemas infectados e reinicie o computador
Utilize soluções anti-malware como o McAfee VirusScan Plus ou ToPS for Endpoint para limpar a infecção. Utilize técnicas de detecção por comportamento como proteção de estouro de buffer no Host IPS para evitar infecções futuras. Isso é importante porque o Conficker pode se propagar por meio de mídia portátil como unidades USB infectadas. Conforme as mídias são acessadas, o sistema processa o autorun.inf e executa o ataque. - Identifique outros sistemas com risco de infecção
É preciso identificar quais sistemas estão em risco. A lista inclui sistemas que não estejam com patches da vulnerabilidade MS08-067 da Microsoft ou não tenham controles proativos de proteção para atenuar a vulnerabilidade. - Limite a capacidade de propagação da ameaça
O uso do IPS em pontos estratégicos da rede limitará rapidamente a capacidade de propagação da ameaça. Isso dará tempo para atualizar as características do seu cliente de antivírus ou modificar as políticas para bloquear a ameaça utilizando controles por comportamento.