Pára Tudo! GUERRA! Vírus Conficker/Downadup infecta 9 milhões de PCs no mundo em 4 dias. Vc está protegido(a)?

Isto não é brincadeira de avatar... O vírus assume TOTAL CONTROLE do PC...

Com todo o knowhow de heavy-user nunca vi um vírus assim antes. Este coloca os Blaster, Sasser e Mydoom no chinelo! O Conficker não precisa q vc execute algum anexo ou abra um link para se instalar... Apenas basta entrar em alguns sites, navegando normalmente, e ele explora uma brecha do Internet Explorer que toma conta de uma vulnerabilidade do SVCHOST.EXE e faz o maior estrago! Sua classificação de gravidade é máxima e crítica... A máquina infectada pode ser controlada remotamente com privilégios totais de administrador, o q significa que o invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário ou administrador. Depois de instalado se autocopia para várias pastas do sistema, especialmente as compartilhadas, e procura auto-propagar-se através da rede, se tiver uma, assim como por pendrives. Ele grava vários auorun.inf nas raízes que serão acionados quando compartilhamento de arquivos e impressoras forem ativados.

O Brasil é o segundo país mais atingido pela praga.

Atualizada:

http://www.tvcanal13.com.br/noticias/brasil-e-o-se...

Embora o risco não seja considerado máximo para o Windows Vista (moderado) afeta praticamente todos os Windows. Sistemas que usem a atualização automática do Windows Update (o q acho um porre) ou o Windows Defender ou ainda outras ferramentas de prevenção da Microsoft tem menos chances de terem sido contaminados, mas uma vez que o Downadup se instala começa a desativar a maioria dos recursos de prevenção, incluindo o Windows Update, a atualização agendada de alguns antivírus e proteções de diversos anti-spays.

Vou dividir a informação em capítulos pq sei que são poucos os que praticam leitura dinâmica, já que vejo diariamente que textos maiores q 3 linhas saõ seriamente ignorados... assim cada um pode ir ao tópico que interessa...

2 atualizadas:

Por causa do vírus ter comportamentos altamente mutantes são muitas as considerações envolvidas, tanto para detectar se já está presente no sistema quanto para precaver-se dele...

3 atualizadas:

Capítulo - Sintomas da contaminação:

A priori não haverá quase nada de diferente acontecendo no seu sitema se estiver infectado. Num certo estágio de replicação é possível que vc não consiga acessar alguns sites ou domínios, todos vinculados a possibilidades de resolver o problema com o vírus. Mas como o propósito do vírus parece ser o controle remoto de máquinas zumbis e/ou roubo de informações financeiras ele não irá causar grandes estragos até chegar o momento de atingir esta meta.

É possível que vc não esteja conseguindo conectar nos sites da Microsoft, Symantec, Norton, McAfee, Trendmicro, Sophos, Panda, F-Secure, Kaspersky, Nod32, Grisoft, Avast, Avira, Pctools, ou dos próprios Windows Update e Windows Defender.

Uma lista completa dos domínios que ficam inacessíveis está aki:

http://www.microsoft.com/security/portal/Entry.asp...

4 atualizadas:

“Mikko Hypponen, chefe de pesquisa da firma de anti-virus F-Secure, diz que, embora não esteja claro qual é o propósito do verme, seu projeto único de ‘ligar para casa’ pelo qual conecta-se com seu ponto de origem significa que permite receber ordens para causar danos. (…) ‘Na terça-feira havia 2,5 milhões [de máquinas infectadas], na quarta 3,5 milhões e hoje [quinta], 8 milhões’, disse ele à CNN. Hj a marca de 9 milhões de máquinas já foi ultrapassada, mas uma propagação de em torno de 6,5 milhões de máquinas em 2 dias já e o suficiente para parar tudo, inclusive de perguntar "será que estou grávida?" e tomar algumas providencias.

http://br.noticias.yahoo.com/s/16012009/7/tecnolog...

Mapas de propagação ao redor do mundo:

https://forums.symantec.com/t5/blogs/blogarticlepa...

5 atualizadas:

O verme utiliza um complexo algoritmo para gerar centenas de diferentes nomes de domínio todos os dias. Apenas um deles será o site realmente usado para hospedar os arquivos dos hackers. Por isso, rastrear esse site será quase impossível.

“Uma vez que o verme esteja ativo, cria um servidor HTTP, reseta o ponto de recuperação do sistema (tornando muito mais difícil recuperar o sistema infectado) e baixa arquivos do site do hacker”, informa o BBC News. Diferentemente dos antigos malawares, o Conficker consegue fazer o download de outro vírus.

Aqui está a lista dos sistemas vulneráveis conforme a Security Focus (todos):

http://www.securityfocus.com/bid/31874

Então, quando me refiro a "sintomas" estou falando de certas peculiaridades que podem ser encontradas nos PCs infectados antes do ponto em que a máquina esteja completamente a mercê do invasor.

6 atualizadas:

Não há como explicar os primeiros sintomas sem entrar num âmbito mais técnico. Os mecanismos do vírus são muito complexos. Vou tentar facilitar ao máximo para que todos possam primeiramente consultar se sua máquina está infectada...

Já que o Conficker [ou Downadup] altera diversas chaves do registro do windows, é possível consultar o status de algumas delas para saber se seu PC já era... Para isto é necessário um procedimento bem simples, mas que requer extrema atenção, para que nada seja modificado, e sim, apenas consultado.

Em Iniciar - Executar [ou Start - Run] digitar regedit [enter]

Na árvore hierárquica que aparece embaixo de Meu computador é preciso ir navegando até encontrar a chave do registro que interessa. Para isto, sugiro que se ilumine primeiro com um click de mouse o nome da pasta indicada, e depois se clique no símbolo de + que fica a esquerda dela, o que abrirá uma outra árvore, por vezes extensa...

7 atualizadas:

Desta forma, não se compromete a navegação no registro, que às vezes apresenta um nome idêntico de pasta mas que está em outra árvore que não a selecionada, te levando a acreditar que vc está na árvore certa...

Tendo isto em conta, navegar até encontrar a chave:

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

sendo que HKLM significa HKEY_LOCAL_MACHINE

Uma vez clickado sobre a pasta Parameters haverá várias chaves sendo exibidas do lado direito da janela...

Localize a chave "TcpNumConnections" e veja se o valor dela é igual a "0x00FFFFFE"

Se sim, o PC está infectado... se não, ou seja, se for um valor diferente de "0x00FFFFFE" significa que AINDA sua máquina não foi preparada para lidar com inúmeras conexões TCP/IP... o que irá facilitar o controle remoto para o invasor... mas isto não dá uma certeza absoluta de que a máquina não esteja infectada. Se achar o valor "0x00000064" (100) que é o default para esta chave, é necessário checar outros itens, a seguir.

8 atualizadas:

No caso da máquina estar infectada, é melhor fechar a janela do regedit e pular para o Capítulo "Remoção do Vírus" já que não é necessário efetuar outras constatações.

Quem passou na primeira prova, deve considerar que "em alguns sistemas" o vírus modifica outras chaves do registro:

com o regedit ainda aberto, consulte:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

sendo que HKCU significa HKEY_CURRENT_USER

Caso a chave "Hidden" tenha um valor diferente de 0x00000001 (1)

significa que o PC está comprometido e precisa da Remoção do Vírus.

Please, encontrando ou não algum destes sintomas, não é preciso alterar nada no registro, já que não irá adiantar. Deve-se fechar o regedit sem mais nem menos e continuar...

9 atualizadas:

Quem tiver mais intimidade com o registro do Windows pode tentar mais métodos de localização de chaves alteradas pelo worm, indicados no link:

http://www.avira.com/pt/threats/section/fulldetail...

mas aviso: irão encontrar pesquisas de chaves tipo:

HKLM\SYSTEM\CurrentControlSet\Services\

%palavras aleatórias%\Parameters\

• ServiceDll" = "%caminhos e ficheiros de cópias de malware%"

... sendo que %palavras aleatórias% pode significar qqer coisa confusa que até se pareça com chaves válidas e não alteradas do registro... e aí o caminho das pedras se complica bastante!

10 atualizadas:

Uma última forma tb não garantida de detectar se o PC já está contaminado é verificar o conteúdo da(s) pasta(s) RECYCLER em cada partição ou pasta compartilhada para ver se é encontrado algum arquivo *.VMX

Já que no processo de infecção, a máquina atacada efectua o download do malware da máquina atacante, O arquivo descarregado é armazenado na máquina a atacar em: .\RECYCLER\S-%número% \%uma série de caracteres aleatórios%.vmx o que significa que muita gente deverá usar sua intuição para localizar o que se refere a S-%número% \%uma série de caracteres aleatórios% dentro da pasta. Um método interessante é mandar pesquisar arquivos *.vmx dentro destas pastas... é claro que tanto para a consulta visual quanto para este método alternativo, será necessário que estas pastas estejam visíveis, o q pode ser conseguido configurando Ferramentas/Opções de Pasta/Modo de exibição e...

11 atualizadas:

- Mostrar pastas e arquivos ocultos

- Desclickar Ocultar arquivos protegidos do sistema operacional

- Desclickar Ocultar as extensões dos tipo de arquivo conhecidos

Caso encontre o tal de arquivo.VMX nas pastas RECYCLER significa que a máquina já foi atacada, e o malware precisa ser removido

Por qué tanta ênfase nos sintomas de contaminação?? Porque os procedimentos para remoção e diagnóstico podem chegar a ser diferentes caso a máquina já tenha o vírus, e alguns links ou ferramentas podem não estar acessíveis ou não funcionar plenamente conforme o vírus já tenha estendido suas ramificações. Sim! o vírus tem a capacidade de bloquear alguns domínios e sites da internet para dificultar sua remoção... por isso, muita atenção no que vem a seguir!

Se a partir destas premissas vc descobrir que seu PC está contaminado, vá direto para o Capítulo Remoção do Vírus. Caso contrário, se tiver certeza de que sua máquina está limpa, vá para o Capítulo Prevenção...

12 atualizadas:

de forma a saber o que é necessário em termos de precaução para não contrair esta peste muito do mal.

13 atualizadas:

Capítulo Prevenção - Patchs e Ferramentas para evitar a brecha

Melhor Link >> Solução que aponta os diversos links para baixar a ferramenta para cada sistema operacional:

http://www.securityfocus.com/bid/31874/solution

Notem que antes de fazer o download do patch precisam ter certeza que se aplica rigorosamente a seu sitema operacional, incluindo eventuais patchs instalados previamente, tipo SP1, Sp2, etc. e que a linguagem do patch baixado deve ser compatível com o sistema instalado, ou seja, vc deverá escolher numa lista dropdown qual a linguagem antes de clickar em download. Por isso é interessante ler as telas antes de sair clickando. A tentativa de instalação de um Patch não compatível pode ou não apresentar msgs de incompatibilidade e até travar tudo!

Uma forma de saber exatamente qual é o sistema operacional que está instalado em sua máquina é solicitar as propriedades de meu computador, ou dar um click duplo em "Sistema" dentro do Painel de Controle (o q dá na msm)

14 atualizadas:

Aí, na janela Geral, o primeiro item apresentado mostrará o "Sistema" instalado e algum eventual Service Pack que atualizou a versão original. É isto que deve ser procurado no link acima da Security Focus para ser baixado, no devido idioma do sistema (isso vc descobre pelos menus do Windows).

Para quem usa o IE7 há um patch muito interessante a ser instalado:

Security Update for Internet Explorer 7 for Windows XP

http://www.microsoft.com/downloads/details.aspx?fa...

Quem quiser seguir o caminho das pedras da MS, para compreender pq estes patchs precisam ser instalados, pode ler isto:

1) Boletim de Segurança da Microsoft MS08-067 – Crítica - Publicado em: 23 de outubro de 2008

http://www.microsoft.com/brasil/technet/security/b...

15 atualizadas:

Sinopse

Esta atualização de segurança resolve uma vulnerabilidade reportada em particular no serviço do servidor. A vulnerabilidade pode permitir execução remota de código se um usuário receber uma solicitação de RPC especialmente criada em um sistema afetado. Nos sistemas Microsoft Windows 2000, Windows XP e Windows Server 2003, um invasor pode explorar esta vulnerabilidade sem autenticação para executar código arbitrário. É possível que esta vulnerabilidade seja usada na criação de uma exploração por worm. As práticas recomendadas de firewall e as configurações de firewall padrão podem ajudar a proteger recursos de rede contra ataques com origem externa ao perímetro da empresa.

Esta atualização de segurança é classificada como Crítica para todas as edições com suporte do Microsoft Win 2000, Win XP, Win Server 2003 e como Importante para todas as edições com suporte do Win Vista, Win Server 2008. Para obter mais informação, consulte a subseção Software afetado ou não...

16 atualizadas:

A atualização de segurança elimina a vulnerabilidade, corrigindo a maneira como o serviço Servidor manipula solicitações de RPC. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas freqüentes relacionada à entrada da vulnerabilidade específica presente na próxima seção, Informações sobre a vulnerabilidade.

Recomendação. A Microsoft recomenda que os clientes apliquem a atualização imediatamente.

Resumo:

Quem deve ler este documento: Clientes que usam o Microsoft Windows

Impacto da vulnerabilidade: Execução Remota de Código

Classificação máxima de gravidade: Crítica

Recomendação: Os clientes devem aplicar a atualização imediatamente.

Substituição da atualização de segurança: Nenhuma (mentira!)

17 atualizadas:

Outros mecanismos de prevenção podem ser úteis para se precaver contra a propagação deste e outros virus que utilizam o autorun.inf nas pastas raíz e pendrives dos sistema. Consulte este link da Symantec para desativar o "AutoPlay" em seu ambiente:

http://service1.symantec.com/SUPPORT/ent-security....

ou este link da Microsoft que tb prevê esta questão, a nível de Group Policy:

http://support.microsoft.com/kb/953252

Manter ativo pelo menos um Firewall que não seja o do próprio Windows e atualizar Anti-Vírus e Anti-Spys são o mínimo que se pode fazer para manter a máquina protegida. Uma ferramenta ótima que fornece alguma proteção do tipo "heurística" é o Advanced SystemCare, que de quebra irá manter a máquina limpa de vários lixos.

18 atualizadas:

Capítulo Remoção do Vírus:

Obviamente, antes de tentar nada, se não tiver direitos de Administrador da máquina procure quem os tenha ou quem possa lhe conceder estes privilégios.

Ferramenta da F-Secure para remoção:

http://www.f-secure.com/v-descs/worm_w32_downadup_...

Ferramenta da Microsoft:

Aki, em inglés >> http://www.microsoft.com/security/malwareremove/de...

quem não tiver s a c o de ler os detalhes clicke em Skip the details and download the tool

mas sugiro ler previamente as informações deste link em português, que tb contém o link citado:

http://blogs.technet.com/risco/archive/2009/01/14/...

19 atualizadas:

Notem que o idioma aki tb é importante, já que não roda em sistemas incompatíveis. Escolha antes de clickar em download.

Para implantar esta ferramenta em ambientes de rede, sugiro ler antes este artigo da base de dados da MS:

http://support.microsoft.com/?kbid=891716

e antes de rodar a ferramenta, uma vez baixada, sugiro ler isto>>

http://support.microsoft.com/?kbid=890830

Ferramenta da Symantec para remoção:

http://www.symantec.com/security_response/writeup....

É interessante ressaltar que caso vc tenha uma rede doméstica ou suas máquinas estejam interligadas em conexões de roteadores wifi ou qqer outro sistema que compartilhe conexão à internet, há instruções específicas neste link da Symantec para depois de ter baixado a ferramenta desconectar as máquinas da rede, desabilitar compartilhamento de arquivos, desconectar o cabo do modem, etc. pq existe a possibilidade de que o vírus se reative depois de ter sido removido...

22 Respostas

Classificação
  • Melhor resposta

    Amigo,adorei sua boa ação para com os amigos,vc está de parabéns,por nos avisar dessa praga!

    E tenho outra informação útil a todos:

    Tomem muito cuidado com "amigos" do yahoo,tem alguns rackers que se fingem de amigos,muito bacanas e sempre prestativos,pedem msn.......jogam vírus em seu pc e depois se oferecem pra ajudar,mas ele entram em seu sistema e fazem a desgraça.

    Tem vários na rede do yahoo fazendo miséria em muitos pc de vários usuários.

    Um beijo meu querido.

    -----------------------------------------------------------------------------

    Acabei de chama-las,já estão vindo,ok.

    Bjs

    • Faça login para comentar as respostas
  • Anônimo
    Há 1 década

    Boa noite Lito!!

    Muito importante sim sua informação,principalmente para pessoas como eu,que pouco entende desse assunto,deu uma ótima aula.

    Aqui ñ preciso me preocupar,pois é uma rede,então ñ sou eu quem faz isso,são os meninos do suporte.

    Concerteza eles já estão alertas quanto à isso.

    Um dia desses,um dos meninos aqui que usam a mesma net que a daq de casa,infestaram os pc de vírus,para vc ter uma idéia o vírus foi passando de máquina em máquina e chegou não somente na empresa matriz mas em todas as filiais que tem espalhadas pelo Brasil todo,agora me responda,como isso acontece????

    Fiquei espantada como isso pode acontecer.Sou leiga,não entendo nada.

    Mas muito obrigada por alertar a todos nós.

    Bjão!!

    ah,obrigada pela rosa..hehhehehe

    =*

    • Faça login para comentar as respostas
  • ?
    Lv 7
    Há 1 década

    Lito meu amigo achei muito legal sua pergunta é uma otima informação para todos nós.

    Obrigada!

    Pantera Lia chamou e eu vim correndo, daki a pouco a outra

    Pantera aparece!

    bjuss

    εïзεïзεïз

    • Faça login para comentar as respostas
  • Há 1 década

    Nossa li tudo, abri uns dois links apenas, tem link que é em inglês, terei que por no tradutor. Agora eu sei porque existem alguns links que ficam dois, cinco, dez minutos e acabam por não abrir, já excluí pasta dos meu documentos que apareceu do nada, de uma hora para outra, as vezes acontecem coisas estranhas, como eu estar vendo uma coisa e derepente do nada abre um WMV, sem eu estar abrindo é obvio, outro dia eu estava abrindo meus e-mails, derepente ainda faltavam seis para abrir, sumiram os seis ainda fechados, sabe-se lá onde foram parar.

    E mais, apareceu uma pessoa em minha lista de e-mail, que parece mais o nome de um terrorista, isso depois que tinham trocado minha senha, excluí na hora. Colocaram uma frase no meu msn, que dá até vergonha, já fiz de tudo e não consigo tirar, ela só aparece quando eu estou off, nem sempre gosto de tc estando onn. E olha que eu trocava pelo menos duas vezes por semana.

    Agora de uns 15 dias para cá não consigo abrir meu hotmail sequer para ver e-mails, mas no pc da minha filha abre normal, ela já desinstalou e instalou novamente várias vezes e várias versões, nenhuma funciona mais, tenho que entrar, mas em outros pcs.

    Outro dia, não conseguia entrar no meu e-mail porque "tinham" mudado a senha, quando eu fui em esqueci a senha e mudei, ao entrar no e-mail alternativo, vi que alguém havia usado até meu e-mail alternativo para a mudança, eles conseguem, não adianta, a gente tem que mudar a senha do nosso pc de um outro pc e nunca do da gente, foi o que eu ouvi. Mesmo tendo feito isso, ele anda estranhíssimo como nunca esteve. Já pedi para meus amigos me enviarem e-mails para outro e-mail meu, eh lasqueraaaa.

    Querido adorei o alerta e a disposição que está tendo em alertar e ensinar como fazer para escapar dessa maldição, eu só sinto não entender nadinha de nada, senão eu mesma faria, mesmo assim vou ler denovo e tentar fazer passo a passo, para confirmar, mas acho sim pelas dicas que o meu infelizmente está na lista dos 9 milhões. Tem que ter leis severas e multas milionárias quando se conseguir pegar esses vagabundos, pena que eles são espertos demais e como disse, dificilmente descobre-se quem está por traz disso.

    Bjs e muito obrigado.

    • Faça login para comentar as respostas
  • O que você acha das respostas? Você pode entrar para votar em uma resposta.
  • Há 1 década

    Obrigada pelo aviso!

    Até agora está tudo bem por aqui, navegando em mar de almirante, mas vou deixar a tripulação em estado de alerta!

    Uma ótima semana,

    Bjs.

    Syrah.

    • Faça login para comentar as respostas
  • Há 1 década

    Lito...

    estamos todos vuneráveis a essa praga, então?

    nossa...espero mesmo não ser contaminada, parece que a essa altura o que nos resta é contar com a sorte...

    valeu pela informação...

    vou repassar por e-mail aos meus amigos...

    obrigadaaaa...

    beijim...

    • Faça login para comentar as respostas
  • Há 1 década

    Obrigada por postar isso, está ajudando muito *-*

    ninguem tá livre dos vírus, todos precisam ficar de olho.

    BJs ♥

    xD

    • Faça login para comentar as respostas
  • Há 1 década

    Existe uma resposta precisa para essa dificuldade?

    Ou realmente é preciso executar toooooooodo o procedimento relacionado?

    • Faça login para comentar as respostas
  • Há 1 década

    O Google não estava abrindo comigo mais outros sites carregavam

    será q estou infectado ?

    • Faça login para comentar as respostas
  • Há 1 década

    ESSA ESTRATEGIA NAO ADIANTOU COLOCAR UM LIVRO AQUI ISSO É MENTIRA,...

    AFINAL 4 MILHOES?

    INFECTA POR DIA NO MUNDO DE QUALQUER OUTRA PRAGA.

    • Faça login para comentar as respostas
Tem mais perguntas? Obtenha suas respostas perguntando agora.