Como identificar e remover o malware Conficker (Downadup ou Kido)

Alerta do CAIS

[CAIS, 16.02.2009-17:15, revisão 01]

O CAIS alerta sobre o aumento do número de incidentes decorrentes da atividade do malware Conficker, também conhecido como Downadup ou Kido, que segundo algumas fontes [1] ja infectou mais de 12 milhões de sistemas ao redor do mundo. Este alerta visa a orientar sobre o funcionamento do malware Conficker e sobre como removê-lo.
Como o Conficker infecta os sistemas

O malware infecta sistemas Windows e se propaga através de três vetores principais:

Explorando uma vulnerabilidade no servico "Servidor" do Windows (SVCHOST.EXE - TCP/445), cuja falha ja foi corrigida pelo alerta MS08-067[2] da Microsoft;
Executa ataques de força bruta contra redes compartilhadas, tantando adivinhar a senha de acesso do administrador;
Infecta dispositivos removiveis normalmente utilizados em diversos computadores(pen drives, cartoes de memoria USB, etc.).

Principais ações do Conficker no sistema

Ao infectar um computador, o malware acessa diversas URLs na Internet em busca de comandos a serem executados na máquina invadida (por exemplo, roubar informações pessoais, enviar spams, fazer o download de outros arquivos maliciosos, etc). Ele também desliga o Windows Defender e as atualizações automáticas do Windows (Windows Update Service), além de não permitir que o usuário do sistema acesse certas páginas de Internet que contenham palavras como vírus, malware, windowsupdate, entre outras.

Como identificar maquinas infectadas por este malware em sua rede

Caso você seja adminstrador de rede, é possível identificar máquinas infectadas pelo Conficker através dos seguintes procedimentos:

Atente para o aumento anormal do tráfego de rede em conexões HTTP (80/TCP), pois o Conficker utiliza este tipo de conexão para receber instruções;
Redes locais com compartilhamento de diretórios provavelmente estarão mais lentas, dada a ação do Conficker na rede local;
Configure em seu firewall ou proxy regras que registrem o acesso a URLs acessadas pelo Conficker. Listas atualizadas constantemente com as URLs que o malware tem acessado estão disponíveis em: Noms de domaine de Conficker / Downadup A et B et remarque surl'Autorun http://cert.lexsi.com/weblog/index.php/2009/02/06/276-noms-de-domaine-de-conficker-downadup-a-et-b
Configure em seu firewall ou proxy regras que registrem as seguintes requisições HTTP, muito provavelmente realizadas pelo Conficker.

GET http://[IP]/search ?q=0 HTTP/1.0"
GET http://[IP]/search ?q=1 HTTP/1.0"
GET http://[IP]/search ?q=n+1 HTTP/1.0"

Como remover o malware

Para remover o Conficker do sistema, podem ser utilizadas alguma das seguintes ferramentas:

Importante

Após remover o malware, certifique-se que:

Seu sistema possui a correcao MS08-067 instalada;
Seu sistema, anti-vírus e firewall estão atualizados e em funcionamento;
A senha do administrador da rede local é uma senha forte contendo pelo menos 6 caracteres, incluindo letras, números e caracteres especiais (@, $, !, etc).

Mais informações

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais