19 de outubro de 2009

Como combater o worm de rede Conficker e Downadup


Sintomas de infecção da rede.

1. Se houver computadores infectados na rede, o volume do tráfego de rede aumentará, pois o ataque de rede é iniciado a partir desses computadores.

2. Um produto antivírus com o Sistema de detecção de intrusos ativado informa sobre o ataque Intrusion.Win.NETAPI.buffer-overflow.exploit

Breve descrição da família do Net-Worm.Win32.Kido.

1. Cria arquivos autorun.inf e RECYCLED\{SID<....>}\RANDOM_NAME.vmx em unidades removíveis (às vezes em compartilhamentos de redes públicas)

2. Se armazena no sistema como um arquivo DLL com um nome aleatório, como c:\windows\system32\zorizr.dll

3. Se registra nos serviços do sistema com um nome aleatório, como knqdgsm.

4. Tenta atacar os computadores da rede através das portas 445 ou 139, usando a vulnerabilidade MS08-067 do MS Windows.

5. Tenta se conectar aos sites a seguir (é recomendável configurar o firewall da rede para monitorar as tentativas de conexão a esses sites):

http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/

Métodos de desinfecção.

Um utilitário específico KK.exe deve ser usado para remover este worm.

Aviso Para evitar que todas as estações de trabalho e servidores de arquivos sejam infectados pelo worm, é recomendável executar as seguintes ações:

  • Instale o patch da Microsoft que corrige as vulnerabilidades MS08-067, MS08-068, MS09-001
  • Certifique-se de que a senha da conta de administrador local não seja óbvia e não possa ser descoberta facilmente; a senha deve conter pelo menos seis caracteres, misturar letras maiúsculas e minúsculas, números e caracteres não-alfanuméricos, como sinais de pontuação.
  • Desative a execução automática de arquivos executáveis das unidades removíveis.

O utilitário KK.exe pode ser executado localmente no computador infectado ou remotamente, com o auxílio do Kaspersky Administration Kit.

Para remover o vírus localmente:

1. Baixe o KK.exe em uma pasta do computador infectado.

2. Execute o arquivo KK.exe

Informações Quando a verificação for concluída, talvez seja exibida uma janela ativa do prompt de comando no monitor do computador; para minimizar a janela, pressione qualquer botão. Para que a janela do prompt de comando seja fechada automaticamente, é recomendável executar o utilitário KK.exe com o parâmetro –y.

3. Aguarde até que a verificação seja concluída.

Aviso Se o Agnitum Outpost Firewall estiver instalado no computador em que o utilitário KK.exe é executado, será necessário reiniciá-lo quando o trabalho do utilitário for concluído.

4. Execute a verificação completa do computador com o antivírus Kaspersky.

Para remover o vírus através do Administration Kit:

1. Baixe o utilitário KK.exe em uma pasta.

2. No console do Administration Kit, crie o pacote de instalação do aplicativo KK.exe. Nas configurações do pacote de instalação, na etapa Application (Aplicativo), selecione a opção Make installation package for specified executable file (Criar pacote de instalação para o arquivo executável especificado).

Informações No campo Executable file command line (optional) (Linha de comando do arquivo executável (opcional)), defina o parâmetro –y para fechar a janela do console automaticamente quando o trabalho do utilitário for concluído.



3. Crie uma tarefa global ou de grupo para a instalação remota do pacote em computadores específicos e execute a tarefa.

Informações O utilitário KK.exe pode ser executado em todos os computadores da rede.

Execute a tarefa.

4. Quando o trabalho do utilitário for concluído, verifique todos os computadores da rede usando o antivírus Kaspersky.

Aviso Se o Agnitum Outpost Firewall estiver instalado no computador em que o utilitário KK.exe é executado, será necessário reiniciá-lo quando o trabalho do utilitário for concluído.

Para obter informações adicionais sobre o utilitário, execute o KK.exe com o parâmetro adicional –help.

Opções para gerenciar o utilitário KK.exe no prompt de comando:

Opção Descrição
-p verificar uma pasta específica
-f verificar os discos rígidos
-n verificar discos de rede
-r verificar as unidades removíveis
-y encerrar o programa sem pressionar nenhuma tecla
-s modo silencioso (sem uma janela preta)
-l gravar informações em um log
-v manutenção estendida do log (a opção -v funcionará apenas se a opção -l for inserida no prompt de comando)
-z restaurar os serviços
  • Serviço de transferência inteligente em segundo plano (BITS),
  • Serviço de atualização automática do Windows (wuauserv),
  • Serviço de relatório de erros (ERSvc/WerSvc)
-? restaurar a exibição de arquivos do sistema ocultos
-a desativar a execução automática em todas as unidades
-help mostrar informações adicionais sobre o utilitário
-m modo de monitoramento de threads, tarefas e serviços

Por exemplo, para verificar uma unidade flash, gerar e gravar um relatório detalhado em um arquivo relatorio.txt (que será criado na pasta de instalação do utilitário KK.exe), use o seguintes comando:

Pen diver

c:\\KK.exe -r -y -l relatorio.txt -v

Verificação no Pc

c:\\KK.exe -f -n -r -y -l report.txt -v

5 comentários:

Fabio Costa disse...

muito eficiente tb é criar uma pasta vazia chamada autorun.inf. isso ajuda muitoi tb, em pendrivers e hd's .

FROZ disse...

Eu sabia que você tem competencia pra realizar um excelente trabalho como o está fazendo agora.

João Roberto disse...

é fabio tambem falei sóbre isso no meu blog antes desse post o link é esse ai http://joaotecnico.blogspot.com/2009/07/cortando-o-mal-pela-raiz-do-pendrive.html

Rosário Notícias disse...

Cara seu blog é show de bola! Já add! Abraços.

João Roberto disse...

opa valeu Rosário Notícias sempre que puder é só entrar e conferir as novidades dp blog

voltar para o topo