Confiker

O Worm Confiker (também conhecido como Downup, Downnaup, e Kido), apesar de ter sido detectado pela primeira vez em 21 de Novembro de 2008, continua a ser uma ameaça caso os sistemas não estejam devidamente protegidos.

O WIN32/Confiker propaga-se a outros terminais explorando o Windows Server Service (SVCHOST.EXE), executando código remotamente quando a partilha de ficheiros está activa. Pode também propagar-se através de drives amovíveis (Discos e pen's USB).

O Conficker contém um dicionário que irá servir para tentar descobrir a password dos utilizadores, para deste modo continuar a sua propagação.

Ao infectar um computador irá de seguida desabilitar serviços de sistema assim como produtos de segurança.

Como evitar

De modo a que se possa prevenir esta infecção existem varias regras de ouro:

1. Utilizar palavras-passe complexas, especialmente em contas de administração.

2. Não iniciar uma sessão num terminal cliente ou servidor infectado com uma conta de administração, para não permitir ao Conficker capturar essa conta/password e poder então propagar-se livremente na rede.

3. Garantir que os sistemas estão sempre com as últimas actualizações Críticas e de Segurança instaladas, em particular o boletim de segurança MS08-067

4. Desabilitar as funcionalidades de Execução Automática

Plano de Ataque

No caso de a infecção já existir dentro da rede, propomos os seguintes passos para conter a ameaça e poder proceder à sua remoção.

1. Criar uma política de grupo que se aplique a todos os computadores da sua organização, tal como descrito no artigo KB962007. Esta política irá impedir que o serviço do vírus seja criado, será também necessário remover permissões de escrita na pasta %windir%\tasks, deste modo prevenimos que o vírus crie Tarefas Agendadas que podem provocar a reinfecção do sistema. Aconselhamos a leitura do artigo pois todos os passos serão necessários para a remoção eficaz do vírus e poderá os efeitos colaterais que qualquer das politicas tenha, documente cuidadosamente todas as alterações para mais tarde poder reverter as mesmas.

2. Instalar com a máxima urgência a actualização de segurança MS08-067. Para tal poderá utilizar o produto Windows Server Update Services.

3. Utilizar a Ferramenta de Remoção de Software Malicioso, disponibilizada mensalmente. Pode ser criado um start-up script de modo a executar a ferramenta no arranque de todas as máquinas. Deste modo garantimos que ao iniciar o Windows a ameaça é removida.

4. Após a ameaça ter sido removida o Antivírus deverá ser a entidade responsável pela remoção do vírus e por prevenir re-infecções.

Caso não possua um Antivírus, ou o mesmo não tenha capacidades de remoção do Conficker, podemos recomendar o Forefront Client Securiy.

Os procedimentos de prevenção para o Conficker são extensíveis a muitos outros vírus, pois caso uma aplicação maligna consiga obter as credenciais de Administrador ou os computadores não tenham instaladas as últimas actualizações de segurança, os sistemas ficarão vulneráveis a ataques.