[imagem: infecções do conficker no mundo - fonte: Conficker Working Group][ 02/11/2009 - Update ]
No aniversario de um ano do Conficker, analistas da ShadowServer divulgaram que detectaram atraves de sinkhole servers mais de 7 milhoes de IPs unicos estao infectados atualmente com o worm, que apesar de nao estar mais chamando tanta atencao tem infectado no minimo 500.000 novos computadores por mes!
[ 08/05/2009 - Update ]
Hoje uma atualização está sendo feita nos milhares de computadores infectados com a variante .C do Conficker. Está sendo instalado um spambot (para envio de spam) e uma ferramenta de segurança falsa chamada Spyware Guard 2009 (dicas para remoção).
Com esta atualização, o objetivo de ganho financeiro dos criadores do Conficker fica bem claro, pois além do envio maciço de spams (que normalmente é um serviço contratado), a falsa ferramenta de segurança cobra $49.95 (quase cinquenta dólares) do usuário infectado para não fazer nada.
[ 01/04/2009 - Update ]
Vários acessos via buscas no Google tem chegado à este post sobre o Conficker. Foram mais de 700 IPs únicos no dia 31/03. Por este motivo irei sumarizar abaixo as informações mais procuradas. Caso você queira saber de mais detalhes sobre o Worm, desde seu surgimento, continue a ler os demais [ Updates ].
Informações Gerais:
Testes e Remoção:
Mais detalhes técnicos sobre o assunto, incluindo o funcionamento do worm e defesas propostas estão descritos nos Updates abaixo (listados do mais recente ao mais antigo):
[ 29/03/2009 - Update ]
Como os senhores sabem, estamos acompanhando o desenvolvimento do Conficker / DownadUp / Kido há algum tempo (vejam os updates no decorrer deste post).
É raro, mas hoje temos boas notícias sobre o Worm mais bem sucedido dos últimos tempos:
Algumas ferramentas inovadoras (e gratuitas) para auxiliar a detecção / contenção do Conficker foram disponibilizadas para download por pesquisadores da Universidade de Bonn na Alemanha. Veja também o post sobre o assunto do Dan Kaminsky - que auxiliou os pesquisadores.
Os alemães publicaram um paper bastante completo com vários detalhes e novidades sobre o Conficker - na série Know Your Enemy do Projeto HoneyNet.
Dê uma olhada nas novas ferramentas disponibilizadas, certamente se você é responsável pela segurança de uma rede grande, se interessará por várias delas:
c_lookups_20090401.txt
cibi.com.br -> 75.119.205.170
aasv.com.br -> 189.107.67.131
aebs.com.br -> 75.125.94.122
clts.com.br -> 201.81.16.57
uili.com.br -> 74.220.215.83
tiat.com.br -> 75.126.176.66
sesd.com.br -> 75.126.203.16
nesb.com.br -> 72.233.57.166
ctur.com.br -> 189.38.80.25
hkdf.com.br -> 200.199.201.32
piss.com.br -> 201.76.47.133
mapc.com.br -> 200.234.220.117
arre.com.br -> 74.52.178.66
bejo.com.br -> 200.234.196.100
eama.com.br -> 75.126.176.78
shou.com.br -> 66.135.39.22
dude.com.br -> 189.38.57.226
mapim.com.br -> 74.53.43.162
rahl.com.br -> 200.185.126.118
ekto.com.br -> 189.21.116.35
adpe.com.br -> 201.20.20.79
cgdp.com.br -> 66.135.42.153
yale.com.br -> 217.151.193.164
essa.com.br -> 82.98.86.169
gedd.com.br -> 209.162.188.193
jfly.com.br -> 200.234.196.208
inec.com.br -> 216.32.92.218
guru.com.br -> 189.1.1.232
dotl.com.br -> 200.185.109.100
uvcb.com.br -> 189.45.245.2
carz.com.br -> 200.98.197.8
ebcv.com.br -> 67.15.84.68
artz.com.br -> 70.85.168.173
kras.com.br -> 82.197.131.24
asac.com.br -> 200.234.200.125
cgam.com.br -> 201.48.251.238
lako.com.br -> 200.215.118.16
icia.com.br -> 200.155.10.120
gnac.com.br -> 198.106.36.245
ctbl.com.br -> 67.205.85.70
apbp.com.br -> 200.201.133.25
sier.com.br -> 200.229.199.197
mrbee.com.br -> 66.7.214.84
acip.com.br -> 201.76.50.48
winb.com.br -> 201.76.50.45
fria.com.br -> 64.38.46.204
rota.com.br -> 200.212.239.136
faem.com.br -> 200.98.196.20
c_lookups_20090402.txt
nabs.com.br -> 64.22.71.89
konb.com.br -> 208.97.180.123
sdbp.com.br -> 74.55.137.226
idda.com.br -> 200.234.196.88
lebl.com.br -> 70.85.180.226
hmvb.com.br -> 200.202.210.168
ncbb.com.br -> 82.98.86.171
sophy.com.br -> 200.219.245.132
oney.com.br -> 195.64.164.87
rptv.com.br -> 200.169.230.163
agos.com.br -> 200.234.200.30
hmvs.com.br -> 200.169.97.82
aapc.com.br -> 189.38.24.3
cshg.com.br -> 200.160.117.37
c_lookups_20090403.txt
gtbr.com.br -> 200.219.214.21
wrun.com.br -> 200.192.130.184
ricz.com.br -> 74.55.91.194
bhil.com.br -> 69.93.129.194
ziph.com.br -> 209.85.101.11
c_lookups_20090404.txt
tdma.com.br -> 64.38.46.203
ghap.com.br -> 200.234.196.144
damy.com.br -> 66.45.240.106
isexp.com.br -> 200.196.238.46
c_lookups_20090405.txt
edaj.com.br -> 70.84.37.212
mrol.com.br -> 66.7.202.150
ildv.com.br -> 74.55.65.190
bmlaw.com.br -> 200.234.196.177
evix.com.br -> 200.234.196.231
c_lookups_20090406.txt
ynai.com.br -> 200.234.200.30
inat.com.br -> 200.157.225.252
kwtv.com.br -> 189.126.193.11
mobs.com.br -> 69.89.31.103
c_lookups_20090407.txt
hong.com.br -> 200.143.10.138
iboa.com.br -> 70.85.181.50
c_lookups_20090408.txt
ictc.com.br -> 174.133.129.152
suun.com.br -> 200.169.230.165
ceem.com.br -> 200.234.220.47
nyhx.com.br -> 189.38.90.14
rrvm.com.br -> 200.234.200.89
c_lookups_20090409.txt
emtd.com.br -> 75.125.40.202
kria.com.br -> 200.154.100.210
pfoa.com.br -> 200.234.200.162
c_lookups_20090410.txt
tupy.com.br -> 200.193.75.1
gdurp.com.br -> 200.142.86.14
gbeb.com.br -> 204.3.187.130
c_lookups_20090411.txt
gata.com.br -> 66.154.35.211
mueb.com.br -> 74.53.178.114
theg.com.br -> 200.186.48.99
sesa.com.br -> 200.234.203.76
escd.com.br -> 200.234.196.102
jecp.com.br -> 200.226.246.22
bait.com.br -> 200.234.196.152
c_lookups_20090412.txt
mgbv.com.br -> 200.98.196.57
omaa.com.br -> 98.131.74.166
c_lookups_20090413.txt
wini.com.br -> 189.21.116.35
acir.com.br -> 189.50.206.9
c_lookups_20090414.txt
itix.com.br -> 67.228.166.162
kron.com.br -> 74.55.22.50
kruf.com.br -> 200.226.246.40
veda.com.br -> 208.113.213.132
c_lookups_20090415.txt
peek.com.br -> 67.205.45.53
qtec.com.br -> 67.19.213.82
pman.com.br -> 198.106.30.194
coll.com.br -> 208.109.252.178
c_lookups_20090416.txt
bnvc.com.br -> 74.53.3.4
keal.com.br -> 66.135.39.22
quer.com.br -> 174.133.228.82
ystv.com.br -> 200.98.197.2
kelf.com.br -> 82.98.86.167
c_lookups_20090417.txt
crsb.com.br -> 200.196.44.131
bmgi.com.br -> 74.55.201.34
etec.com.br -> 200.219.245.132
padd.com.br -> 208.43.200.244
cibi.com.br -> 75.119.205.170
c_lookups_20090418.txt
aasv.com.br -> 189.107.67.131
aebs.com.br -> 75.125.94.122
c_lookups_20090419.txt
clts.com.br -> 201.81.16.57
uili.com.br -> 74.220.215.83
tiat.com.br -> 75.126.176.66
c_lookups_20090420.txt
sesd.com.br -> 75.126.203.16
nesb.com.br -> 72.233.57.166
ctur.com.br -> 189.38.80.25
hkdf.com.br -> 200.199.201.32
piss.com.br -> 201.76.47.133
mapc.com.br -> 200.234.220.117
arre.com.br -> 74.52.178.66
c_lookups_20090421.txt
bejo.com.br -> 200.234.196.100
eama.com.br -> 75.126.176.78
shou.com.br -> 66.135.39.22
dude.com.br -> 189.38.57.226
mapim.com.br -> 74.53.43.162
rahl.com.br -> 200.185.126.118
c_lookups_20090422.txt
ekto.com.br -> 189.21.116.35
adpe.com.br -> 201.20.20.79
cgdp.com.br -> 66.135.42.153
yale.com.br -> 217.151.193.164
c_lookups_20090423.txt
essa.com.br -> 82.98.86.169
gedd.com.br -> 209.162.188.193
jfly.com.br -> 200.234.196.208
inec.com.br -> 216.32.92.218
guru.com.br -> 189.1.1.232
c_lookups_20090424.txt
dotl.com.br -> 200.185.109.100
uvcb.com.br -> 189.45.245.2
carz.com.br -> 200.98.197.8
ebcv.com.br -> 67.15.84.68
artz.com.br -> 70.85.168.173
c_lookups_20090425.txt
kras.com.br -> 82.197.131.24
c_lookups_20090426.txt
asac.com.br -> 200.234.200.125
c_lookups_20090427.txt
cgam.com.br -> 201.48.251.238
lako.com.br -> 200.215.118.16
icia.com.br -> 200.155.10.120
gnac.com.br -> 198.106.36.245
ctbl.com.br -> 67.205.85.70
apbp.com.br -> 200.201.133.25
sier.com.br -> 200.229.199.197
c_lookups_20090428.txt
mrbee.com.br -> 66.7.214.84
acip.com.br -> 201.76.50.48
winb.com.br -> 201.76.50.45
fria.com.br -> 64.38.46.204
rota.com.br -> 200.212.239.136
faem.com.br -> 200.98.196.20
nabs.com.br -> 64.22.71.89
c_lookups_20090429.txt
konb.com.br -> 208.97.180.123
sdbp.com.br -> 74.55.137.226
idda.com.br -> 200.234.196.88
lebl.com.br -> 70.85.180.226
c_lookups_20090430.txt
hmvb.com.br -> 200.202.210.168
ncbb.com.br -> 82.98.86.171
sophy.com.br -> 200.219.245.132
oney.com.br -> 195.64.164.87
rptv.com.br -> 200.169.230.163
agos.com.br -> 200.234.200.30
hmvs.com.br -> 200.169.97.82
aapc.com.br -> 189.38.24.3
[ 23/03/2009 - Update ]
No próximo dia primeiro (1o de Abril), a variante "C" do Conficker (que é a menos comum) irá modificar a forma de contactar os servidores de Command & Control do Worm (veja no FAQ abaixo) - não é esperado nenhum ataque específico neste dia.
Simplificando o que vai ocorrer é que as máquianas infectadas irão passar a utilizar um novo algorítmo que gera 500 domínios em 50.000 possíveis (versus os atuais 250 que já estão "marcados" pelos White Hats).
[ 16/03/2009 - Update ]
Novas versões do worm são criadas, e a Mcafee lançou um interessante documento PDF contendo dicas atualizadas de como detectar e remover o Conficker.
[ 13/02/2009 - Update ]
1 - A Microsoft, a ICANN e outros tomaram uma medida interessante no combate ao Worm Conficker - já que se trata de uma ameaça global muitíssimo bem sucedida que já infectou dezenas de milhares de computadores mundo afora, utilizando técnicas avançadas (veja o próximo ítem). O contra-ataque perfeito: Recompensa de U$ 250.000,00 - no estilo "Velho Oeste" para quem dedurar ou entregar o(s) autor(s) do worm (vivos ou mortos) ...
Antes de criticar, lembre-se: funcionou com o Sasser em 2005 (o artifício foi usado tb contra o Mydoom em 2004)
2 - Uma excelente análise do Conficker (variantes .A e .B) foi publicada no site da SRI - MUITO bem escrito... Vale a leitura! (Estão desconfiando que o autor é Ucraniano).
3 - A Microsoft registrou um redirecionador para o site que centraliza as informações sobre o worm: http://www.microsoft.com/conficker. O Sans Institute também está centralizando informações (de mais origens e por isto mais interessantes) sobre o worm no seguinte link: http://isc.sans.org/diary.html?storyid=5860
4 - A Microsoft está fazendo desde ontem o que a F-Secure já faz a mais de um mês - Divulgando uma lista dos domínios (.zip) que poderão ser usados para contactar o cérebro do Worm. A vantagem é que esta lista tem 113501 domínios, listados por variante e dias em que serão utilizados (de 01/10/2008 a 30/06/2009)
5 - Michael Ligh disponibilizou (código fonte e executável) um interessante utilitário chamado Downatool (funciona bem com o Wine), que serve para a) listar os domínios utilizados a cada dia; b) gerar os IPs a serem "atacados" com o mesmo algorítimo do Worm, c) mostrar os ranges de IPs que já entraram em blacklist por ação das entidades de segurança envolvidas no caso (CERT, Microsoft, Avira, Symantec, etc..)
[ 07/02/2009 - Updates ]
1 - O Conficker continua crescendo, e o Brasil agora é o segundo da lista de países com mais novas infecções (atrás somente da China). Uma boa explicação para isto é que o Brasil possui muitas cópias piratas de windows (xp,vista,...) e por isto milhares de máquinas sem atualizações de segurança.
2 - Até agora o impacto maior é a infecção dos mais de 15 milhões de máquinas, mas um impacto maior devido ao USO deste exército de máquinas não vai demorar, já que já se detectou uma associação entre o Conficker e a conhecida rede de Bots "ASPROX".
3 - Há um UPDATE interessante nos métodos de defesa, pois a OPENDNS se uniu à Kaspersky e agora está bloqueando os domínios utilizados pelo Conficker (gerados à cada dia pelo Worm).
Para mais informações de como utilizar o serviço da OpenDNS - e de quebra ter uma navegação mais rápida e segura - clique aqui.
4 - A Microsoft lançou dois guias de proteção ao Conficker, um para usuários domésticos, e outro para Administradores de T.I.
5 - Alguns detalhes técnicos das inovações utilizadas pelo Conficker, como o modelo de injeção na memória, para bypassar FW e HIPS - tem sido publicadas.
[ 15/01/2009 - Post Original ]
No último post sobre categorização de erros de programação relacionados à segurança de softwares, apontamos que não é fácil manter um nível adequado de segurança quando se desenvolve softwares complexos.
O problema:
A Microsoft não é exceção, e apesar das grandes evoluções com relação a segurança - incluindo uma abordagem madura de desenvolvimento seguro chamada "Secure Development Lifecycle (SDL)" - um erro de programação permitiu que hackers começassem no final de 2008 a explorar o "Server Service" via RPC (Remote Procedure Calls) em todas as versões do Windows (XP a 2008), sendo que em XP, 2000 e 2003 a exploração pode ser feita por um usuário não autenticado.
De volta ao passado:
Worms que se utilizam de exploits de RPC costumam ser muito bem sucedidos:
Sasser - http://www.secureworks.com/research/threats/sasser/
Blaster - http://www.cert.org/advisories/CA-2003-20.html
Depois destes dois, muita gente acreditou que seriam os últimos grandes "worms de rede". A lição é: Nunca diga nunca.
Complexidade + Conectividade:
Existe um post interessante na MSDN avaliando por que esta vulnerabilidade "passou batida" pelo processo de revisão de código e fuzz tests previstos no SDL - simplificando, a complexidade de uma função específica em C++ e a falta de controle estrito de seus argumentos em um loop permitiu a vulnerabilidade, que não é facilmente detectada por analisadores automatizados de qualidade de código.
Já em seu boletim de segurança MS08-67, publicado em 23/10/2008, a Microsoft alertou que a correção era emergencial e que a falha poderia ser exploradas transformar por WORM, pelas suas características e grande conectividade dos componentes envolvidos. Vale ressaltar que a vulnerabilidade já estava sendo utilizada por atacantes (até aquele momento, era um "0-day" - possivelmente muito valioso).
Simplicidade de Exploração:
Apenas duas horas depois da divlugação do boletim MS08-67, pesquisadores conseguiram codificar exploits 100% efetivos - dada a simplicidade de exploração da vulnerabilidade.
A partir de então, registrou-se um crescimento constante na exploração da vulnerabilidade (incluindo exploits públicos). Neste interim, o foco do mundo de segurança se voltou para outra vulnerabilidade crítica - desta vez afetando o Internet Explorer (MS08-78).
Enquanto isto os Worms (como o coreano Gimmiv) que exploram esta vulnerabiliade se sofisticaram, e nos últimos dias temos visto muitos alertas sobre o crescimento do WORM "Conficker" - também chamado de "Downadup" e "Kido".
Expansão Global:
O Worm Conficker / DownadUp está em plena expansão, em um ritmo de mais de um milhão de máquinas infectadas por dia (note que cada IP roteável na lista da F-Secure abaixo pode indicar uma rede com muitos computadores). O último cálculo feito indica que quase 4 milhões de máquinas estão infectadas, sendo que em suas análises iniciais, o Brasil era o segundo país com mais infecções!
Update (16/01/2009): A F-Secure divulgou novos números: 8976038 computadores infectados (9 milhões!) e 353495 endereços IPs envolvidos. A F-Secure detalhou mais tarde como chegou a estes números...
A Qualys divulgou que 30% dos computadores do mundo ainda estão vulneráveis ao vetor de exploração principal do WORM (Vuln. Windows RPC MS0867)
Sofisticação:
O Conficker / DownadUp utiliza algumas técnicas interessantes e bem sucedidas para garantir sua efetividade / propagação:
Além de explorar a vulnerabilidade RPC referente ao boletim MS08-67 (a) , ele :
(a) utiliza o exploit publicado pelo projeto metasploit, otimizando assim as taxas de infecções para diferentes versões e linguagens do Windows (usando fingerprinting smb).
(b) se copia para compartilhamentos sem senha,
(c) faz força bruta de senhas nos demais compartilhamentos (inclusive ADMIN$),
(d) se copia para dispositívos USB com uma interessante técnica de obsfuscação.
(e) se utiliza de métodos de engenharia social para se propagar
(f) impede a comunicação com vários sites de segurança/anti-virus para dificultar sua limpeza.
(g) utiliza nomes e extensões randômicas em seus arquivos, para evitar detecção
(h) usa técnicas de mudança de timestamp (iguala datas e horas de acesso/modificação/criação às do arquivo %System%\kernel32.dll)
(i) inicia um servidor HTTP em uma porta randômica da máquina infectada para garantir a atualização de seu código.
(j) Faz um hook na API NetpwPathCanonicalize para evitar que ele ou malware explore a vulnerabilidade RPC (MS08-67) novamente.
(k) Manda informações para seu dono de quantas máquinas conseguiu infectar (ex: 129 máquinas para a requisição "GET /search?q=129 HTTP/1.0") Mais info aqui.
(l) Utiliza uma variante simples do método "fast-flux" - garantindo a sobrevivência de atualizações (*)
* o endereço de atualização é escolhido dentre 250 possíveis dominios gerados por dia (seguindo um algorítimo interno). Desta forma o controlador do Worm precisa registrar apenas um destes domínios para comandar as maquinas (que consultam todos). A F-Secure aproveitou e registrou um dos domínios, conseguindo assim medir o tamanho do problema.
Identificação de Hosts Vulneráveis:
Uma sugestão minha para identificar o grau de infecção e quais IPs de uma rede local grande estão comprometidas: acompanhe HOJE E AMANHÃ as resoluções DNS para os domínios listados pela F-Secure ou registre em seu DNS interno os domínios utilizados pelo Worm, e faça com que eles resolvam um IP interno de um honeypot simples (ou deixe rodando um tcpdump que registre as tentativas de acesso ao domínio.
Defesa em profundidade:
1 - A mais óbvia defesa, esteja certo de que o PATCH - referente ao boletim MS08-67 - esteja aplicado em todas as máquinas sob sua responsabilidade.
2 - Esteja certo que as regras de Firewall estão com "default-deny" e bloqueand oacesso externo às portas 139/tcp e 445/tcp.
3 - Encontre e feche os compartilhamentos sem senha da sua rede antes do Worm
4 - Caso você tenha IDS/IPS internos, atualize suas regras e monitore pela tentativa de exploração desta vulnerabilidade.
5 - Usando uma solução SIM - Security Information Management, monitore os logs das suas máquinas Windows, usando regras de correlação para detectar a exploração da vulnerabilidade RPC MS08-067 e para detectar tentativas sucessivas de logon com falha (força bruta) em máquinas Vista e 2008.
6 - Inclua em seu Logon-Script alguma ferramenta de remoção automática do Conficker / DownadUp (F-secure F-Downadup.zip ou Microsoft Malicious Software Removal Tool).
7 - Desabilite USB Autoplay e Autorun em suas máquinas, e evite esta forma de propagação de vários malwares, dicas nestes links.
8 - Bloqueie (via dns, controle de conteúdo ou proxy) os possíveis domínios que serão utilizados futuramente (até o dia 16/01/2009) pelo Worm. Update (16/01/2009): A F-Secure divulgou o uma nova lista contendo 3749 domínios que podem ser utilizados pelo Worm até o dia 31/01/2009. Update 13/02/2009 - use esta lista de domínios mais atualizada (até 30/06/2009)
9 - Um bom anti-virus atualizado ajuda.
10 - Soluções de Segurança "In-The-Cloud" como a da Prevx, tem alardeado sucesso em bloquear todas as variantes deste Worm até o momento.
Hoje uma atualização está sendo feita nos milhares de computadores infectados com a variante .C do Conficker. Está sendo instalado um spambot (para envio de spam) e uma ferramenta de segurança falsa chamada Spyware Guard 2009 (dicas para remoção).
Com esta atualização, o objetivo de ganho financeiro dos criadores do Conficker fica bem claro, pois além do envio maciço de spams (que normalmente é um serviço contratado), a falsa ferramenta de segurança cobra $49.95 (quase cinquenta dólares) do usuário infectado para não fazer nada.
[ 01/04/2009 - Update ]
Vários acessos via buscas no Google tem chegado à este post sobre o Conficker. Foram mais de 700 IPs únicos no dia 31/03. Por este motivo irei sumarizar abaixo as informações mais procuradas. Caso você queira saber de mais detalhes sobre o Worm, desde seu surgimento, continue a ler os demais [ Updates ].
Informações Gerais:
- O Conficker (também chamado de DownadUp e Kido) é um Worm sofisticado que já infectou mais de 15 milhões de máquinas no mundo inteiro, desde Novembro de 2008.
- Ele explora máquinas Windows que não possuem a correção MS08-67 da Microsoft
- Outras formas de propagação são os compartilhamentos windows sem senha (ou com senhas fracas) e dispositivos externos como pendrives USB.
- Existem 3 variantes conhecidas até o momento (A, B e C), sendo que a variante C no dia de hoje (01/04) modificou sua forma de comunicação com seus criadores, antes eram gerados 250 domínios aleatóriamente, e para dificultar o bloqueio destes domínios a partir de hoje estão sendo gerados 50.000 domínios dentre os quais as máquinas infectadas tentam contactar 500.
Testes e Remoção:
- Para remoção do Conficker, acesse de uma máquina não infectada uma das ferramentas a seguir: [ F-Secure MSRT da Microsoft, SunBelt ] e execute na máquina afetada.
- Para verificar se seu computador está infectado, visite esta página e confira o resultado (serão carregadas imagens de domínios bloqueados pelas variantes do Conficker, caso você utilize proxy pode haver falso-negativo).
- Para detecção do Conficker em uma rede interna, hoje a melhor técnica é utilizar a última versão da ferramenta nmap (4.85BETA7), com os seguintes parâmetros: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [redes_alvo]. Caso você tenha uma rede grande para testar, veja aqui como utilizar output xml no nmap e um script em perl para facilitar o seu trabalho.
- Para mais dicas de como se proteger, procure ao final deste post o título "Defesa em profundidade".
Mais detalhes técnicos sobre o assunto, incluindo o funcionamento do worm e defesas propostas estão descritos nos Updates abaixo (listados do mais recente ao mais antigo):
[ 29/03/2009 - Update ]
Como os senhores sabem, estamos acompanhando o desenvolvimento do Conficker / DownadUp / Kido há algum tempo (vejam os updates no decorrer deste post).
É raro, mas hoje temos boas notícias sobre o Worm mais bem sucedido dos últimos tempos:
Algumas ferramentas inovadoras (e gratuitas) para auxiliar a detecção / contenção do Conficker foram disponibilizadas para download por pesquisadores da Universidade de Bonn na Alemanha. Veja também o post sobre o assunto do Dan Kaminsky - que auxiliou os pesquisadores.
Os alemães publicaram um paper bastante completo com vários detalhes e novidades sobre o Conficker - na série Know Your Enemy do Projeto HoneyNet.
Dê uma olhada nas novas ferramentas disponibilizadas, certamente se você é responsável pela segurança de uma rede grande, se interessará por várias delas:
- scs.zip - ferramenta de varredura de rede (scanner) que busca por máquinas infectadas com o conficker em redes internas (pré-requisitos: Python e biblioteca "Impacket"). Esta é a maior contribuição dos alemães - pois independentemente da forma de exploração (pen-drive infectado, compartilhamento de rede, vulnerabilidade RPC referente ao boletim MS08-67, etc..), o computador infectado irá responder de forma detectável (por isto é possível o fingerprinting) a mensagens RPC especialmente construídas para este fim - Isto se deve à forma que a função NetpwPathCanonicalize() passa a funcionar depois que o Conficker se instala na máquina.
- regnfile_01.exe / conficker_names.zip (código fonte) - ferramenta para encontrar arquivos e entradas de registro criados pelo Conficker (os nomes aparentemente randômicos são baseados no hostname da máquina).
- conficker_mem_killer.exe / memscan.zip (código fonte) - ferramenta que desinfecta a memória de máquinas com o Conficker.
- nonficker.zip / conficker_code.zip (código fonte) - ferramenta "vacina" para "enganar" o Conficker criando um mutex igual ao que é criado pelo Conficker (faz o código malicioso acreditar que a máquina já está infectada).
- downatool2 - nova ferramenta de geração de domínios que serão utilizados pelo Conficker (variantes A, B e C) Vale ressaltar que na variante "C" o ele pode gerar domínios brasileiros (.com.br)
- c_domains_april2009.zip - todos os domínios que serão utilizados pelo conficker variante C em abril.
- collisions_april - lista de colisões previstas para abril. A partir do próximo mês serão 5000 domínios gerados diariamente e além disto nesta variante os domínios podem possuir somente 4 letras, o efeito de colisão com domínios existentes será mais preocupante (imagine o dono de um domínio destes recebendo a comunicação de milhões de máquinas ao mesmo tempo..)
c_lookups_20090401.txt
cibi.com.br -> 75.119.205.170
aasv.com.br -> 189.107.67.131
aebs.com.br -> 75.125.94.122
clts.com.br -> 201.81.16.57
uili.com.br -> 74.220.215.83
tiat.com.br -> 75.126.176.66
sesd.com.br -> 75.126.203.16
nesb.com.br -> 72.233.57.166
ctur.com.br -> 189.38.80.25
hkdf.com.br -> 200.199.201.32
piss.com.br -> 201.76.47.133
mapc.com.br -> 200.234.220.117
arre.com.br -> 74.52.178.66
bejo.com.br -> 200.234.196.100
eama.com.br -> 75.126.176.78
shou.com.br -> 66.135.39.22
dude.com.br -> 189.38.57.226
mapim.com.br -> 74.53.43.162
rahl.com.br -> 200.185.126.118
ekto.com.br -> 189.21.116.35
adpe.com.br -> 201.20.20.79
cgdp.com.br -> 66.135.42.153
yale.com.br -> 217.151.193.164
essa.com.br -> 82.98.86.169
gedd.com.br -> 209.162.188.193
jfly.com.br -> 200.234.196.208
inec.com.br -> 216.32.92.218
guru.com.br -> 189.1.1.232
dotl.com.br -> 200.185.109.100
uvcb.com.br -> 189.45.245.2
carz.com.br -> 200.98.197.8
ebcv.com.br -> 67.15.84.68
artz.com.br -> 70.85.168.173
kras.com.br -> 82.197.131.24
asac.com.br -> 200.234.200.125
cgam.com.br -> 201.48.251.238
lako.com.br -> 200.215.118.16
icia.com.br -> 200.155.10.120
gnac.com.br -> 198.106.36.245
ctbl.com.br -> 67.205.85.70
apbp.com.br -> 200.201.133.25
sier.com.br -> 200.229.199.197
mrbee.com.br -> 66.7.214.84
acip.com.br -> 201.76.50.48
winb.com.br -> 201.76.50.45
fria.com.br -> 64.38.46.204
rota.com.br -> 200.212.239.136
faem.com.br -> 200.98.196.20
c_lookups_20090402.txt
nabs.com.br -> 64.22.71.89
konb.com.br -> 208.97.180.123
sdbp.com.br -> 74.55.137.226
idda.com.br -> 200.234.196.88
lebl.com.br -> 70.85.180.226
hmvb.com.br -> 200.202.210.168
ncbb.com.br -> 82.98.86.171
sophy.com.br -> 200.219.245.132
oney.com.br -> 195.64.164.87
rptv.com.br -> 200.169.230.163
agos.com.br -> 200.234.200.30
hmvs.com.br -> 200.169.97.82
aapc.com.br -> 189.38.24.3
cshg.com.br -> 200.160.117.37
c_lookups_20090403.txt
gtbr.com.br -> 200.219.214.21
wrun.com.br -> 200.192.130.184
ricz.com.br -> 74.55.91.194
bhil.com.br -> 69.93.129.194
ziph.com.br -> 209.85.101.11
c_lookups_20090404.txt
tdma.com.br -> 64.38.46.203
ghap.com.br -> 200.234.196.144
damy.com.br -> 66.45.240.106
isexp.com.br -> 200.196.238.46
c_lookups_20090405.txt
edaj.com.br -> 70.84.37.212
mrol.com.br -> 66.7.202.150
ildv.com.br -> 74.55.65.190
bmlaw.com.br -> 200.234.196.177
evix.com.br -> 200.234.196.231
c_lookups_20090406.txt
ynai.com.br -> 200.234.200.30
inat.com.br -> 200.157.225.252
kwtv.com.br -> 189.126.193.11
mobs.com.br -> 69.89.31.103
c_lookups_20090407.txt
hong.com.br -> 200.143.10.138
iboa.com.br -> 70.85.181.50
c_lookups_20090408.txt
ictc.com.br -> 174.133.129.152
suun.com.br -> 200.169.230.165
ceem.com.br -> 200.234.220.47
nyhx.com.br -> 189.38.90.14
rrvm.com.br -> 200.234.200.89
c_lookups_20090409.txt
emtd.com.br -> 75.125.40.202
kria.com.br -> 200.154.100.210
pfoa.com.br -> 200.234.200.162
c_lookups_20090410.txt
tupy.com.br -> 200.193.75.1
gdurp.com.br -> 200.142.86.14
gbeb.com.br -> 204.3.187.130
c_lookups_20090411.txt
gata.com.br -> 66.154.35.211
mueb.com.br -> 74.53.178.114
theg.com.br -> 200.186.48.99
sesa.com.br -> 200.234.203.76
escd.com.br -> 200.234.196.102
jecp.com.br -> 200.226.246.22
bait.com.br -> 200.234.196.152
c_lookups_20090412.txt
mgbv.com.br -> 200.98.196.57
omaa.com.br -> 98.131.74.166
c_lookups_20090413.txt
wini.com.br -> 189.21.116.35
acir.com.br -> 189.50.206.9
c_lookups_20090414.txt
itix.com.br -> 67.228.166.162
kron.com.br -> 74.55.22.50
kruf.com.br -> 200.226.246.40
veda.com.br -> 208.113.213.132
c_lookups_20090415.txt
peek.com.br -> 67.205.45.53
qtec.com.br -> 67.19.213.82
pman.com.br -> 198.106.30.194
coll.com.br -> 208.109.252.178
c_lookups_20090416.txt
bnvc.com.br -> 74.53.3.4
keal.com.br -> 66.135.39.22
quer.com.br -> 174.133.228.82
ystv.com.br -> 200.98.197.2
kelf.com.br -> 82.98.86.167
c_lookups_20090417.txt
crsb.com.br -> 200.196.44.131
bmgi.com.br -> 74.55.201.34
etec.com.br -> 200.219.245.132
padd.com.br -> 208.43.200.244
cibi.com.br -> 75.119.205.170
c_lookups_20090418.txt
aasv.com.br -> 189.107.67.131
aebs.com.br -> 75.125.94.122
c_lookups_20090419.txt
clts.com.br -> 201.81.16.57
uili.com.br -> 74.220.215.83
tiat.com.br -> 75.126.176.66
c_lookups_20090420.txt
sesd.com.br -> 75.126.203.16
nesb.com.br -> 72.233.57.166
ctur.com.br -> 189.38.80.25
hkdf.com.br -> 200.199.201.32
piss.com.br -> 201.76.47.133
mapc.com.br -> 200.234.220.117
arre.com.br -> 74.52.178.66
c_lookups_20090421.txt
bejo.com.br -> 200.234.196.100
eama.com.br -> 75.126.176.78
shou.com.br -> 66.135.39.22
dude.com.br -> 189.38.57.226
mapim.com.br -> 74.53.43.162
rahl.com.br -> 200.185.126.118
c_lookups_20090422.txt
ekto.com.br -> 189.21.116.35
adpe.com.br -> 201.20.20.79
cgdp.com.br -> 66.135.42.153
yale.com.br -> 217.151.193.164
c_lookups_20090423.txt
essa.com.br -> 82.98.86.169
gedd.com.br -> 209.162.188.193
jfly.com.br -> 200.234.196.208
inec.com.br -> 216.32.92.218
guru.com.br -> 189.1.1.232
c_lookups_20090424.txt
dotl.com.br -> 200.185.109.100
uvcb.com.br -> 189.45.245.2
carz.com.br -> 200.98.197.8
ebcv.com.br -> 67.15.84.68
artz.com.br -> 70.85.168.173
c_lookups_20090425.txt
kras.com.br -> 82.197.131.24
c_lookups_20090426.txt
asac.com.br -> 200.234.200.125
c_lookups_20090427.txt
cgam.com.br -> 201.48.251.238
lako.com.br -> 200.215.118.16
icia.com.br -> 200.155.10.120
gnac.com.br -> 198.106.36.245
ctbl.com.br -> 67.205.85.70
apbp.com.br -> 200.201.133.25
sier.com.br -> 200.229.199.197
c_lookups_20090428.txt
mrbee.com.br -> 66.7.214.84
acip.com.br -> 201.76.50.48
winb.com.br -> 201.76.50.45
fria.com.br -> 64.38.46.204
rota.com.br -> 200.212.239.136
faem.com.br -> 200.98.196.20
nabs.com.br -> 64.22.71.89
c_lookups_20090429.txt
konb.com.br -> 208.97.180.123
sdbp.com.br -> 74.55.137.226
idda.com.br -> 200.234.196.88
lebl.com.br -> 70.85.180.226
c_lookups_20090430.txt
hmvb.com.br -> 200.202.210.168
ncbb.com.br -> 82.98.86.171
sophy.com.br -> 200.219.245.132
oney.com.br -> 195.64.164.87
rptv.com.br -> 200.169.230.163
agos.com.br -> 200.234.200.30
hmvs.com.br -> 200.169.97.82
aapc.com.br -> 189.38.24.3
- Além disto, os pesquisadores alemães disponibilizaram assinaturas atualizadas do snort para detectar as variantes A e B do Conficker (para regras de IDS para a variante .C, siga este link)
Conficker.A
Conficker.A:y any -> $HOME_NET 445 (msg:
"conficker.a shellcode"; content: "|e8 ff ff ff ff c1|^|8d|N|10
80|1|c4|Af|81|9EPu|f5 ae c6 9d a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c
cc|IrX|c4 c4 c4|,|ed c4 c4 c4 94|&Conficker.Balert tcp any any -> $HOME_NET 445 (msg: "conficker.b shellcode";
content: "|e8 ff ff ff ff c2|_|8d|O|10 80|1|c4|Af|81|9MSu|f5|8|ae c6 9d
a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c cc|Ise|c4 c4 c4|,|ed c4 c4 c4
94|&
[ 23/03/2009 - Update ]
No próximo dia primeiro (1o de Abril), a variante "C" do Conficker (que é a menos comum) irá modificar a forma de contactar os servidores de Command & Control do Worm (veja no FAQ abaixo) - não é esperado nenhum ataque específico neste dia.
Simplificando o que vai ocorrer é que as máquianas infectadas irão passar a utilizar um novo algorítmo que gera 500 domínios em 50.000 possíveis (versus os atuais 250 que já estão "marcados" pelos White Hats).
- A SRI publicou um anexo com uma análise do Conficker.C
- A F-Secure publicou um FAQ sobre o Conficker e a data 01/04/2009
- uma linha do tempo atualizada de eventos relacionados foi publicada sobre o Conficker.
[ 16/03/2009 - Update ]
Novas versões do worm são criadas, e a Mcafee lançou um interessante documento PDF contendo dicas atualizadas de como detectar e remover o Conficker.
[ 13/02/2009 - Update ]
1 - A Microsoft, a ICANN e outros tomaram uma medida interessante no combate ao Worm Conficker - já que se trata de uma ameaça global muitíssimo bem sucedida que já infectou dezenas de milhares de computadores mundo afora, utilizando técnicas avançadas (veja o próximo ítem). O contra-ataque perfeito: Recompensa de U$ 250.000,00 - no estilo "Velho Oeste" para quem dedurar ou entregar o(s) autor(s) do worm (vivos ou mortos) ...
Antes de criticar, lembre-se: funcionou com o Sasser em 2005 (o artifício foi usado tb contra o Mydoom em 2004)
2 - Uma excelente análise do Conficker (variantes .A e .B) foi publicada no site da SRI - MUITO bem escrito... Vale a leitura! (Estão desconfiando que o autor é Ucraniano).
3 - A Microsoft registrou um redirecionador para o site que centraliza as informações sobre o worm: http://www.microsoft.com/conficker. O Sans Institute também está centralizando informações (de mais origens e por isto mais interessantes) sobre o worm no seguinte link: http://isc.sans.org/diary.html?storyid=5860
4 - A Microsoft está fazendo desde ontem o que a F-Secure já faz a mais de um mês - Divulgando uma lista dos domínios (.zip) que poderão ser usados para contactar o cérebro do Worm. A vantagem é que esta lista tem 113501 domínios, listados por variante e dias em que serão utilizados (de 01/10/2008 a 30/06/2009)
5 - Michael Ligh disponibilizou (código fonte e executável) um interessante utilitário chamado Downatool (funciona bem com o Wine), que serve para a) listar os domínios utilizados a cada dia; b) gerar os IPs a serem "atacados" com o mesmo algorítimo do Worm, c) mostrar os ranges de IPs que já entraram em blacklist por ação das entidades de segurança envolvidas no caso (CERT, Microsoft, Avira, Symantec, etc..)
[ 07/02/2009 - Updates ]
1 - O Conficker continua crescendo, e o Brasil agora é o segundo da lista de países com mais novas infecções (atrás somente da China). Uma boa explicação para isto é que o Brasil possui muitas cópias piratas de windows (xp,vista,...) e por isto milhares de máquinas sem atualizações de segurança.
2 - Até agora o impacto maior é a infecção dos mais de 15 milhões de máquinas, mas um impacto maior devido ao USO deste exército de máquinas não vai demorar, já que já se detectou uma associação entre o Conficker e a conhecida rede de Bots "ASPROX".
3 - Há um UPDATE interessante nos métodos de defesa, pois a OPENDNS se uniu à Kaspersky e agora está bloqueando os domínios utilizados pelo Conficker (gerados à cada dia pelo Worm).
Para mais informações de como utilizar o serviço da OpenDNS - e de quebra ter uma navegação mais rápida e segura - clique aqui.
4 - A Microsoft lançou dois guias de proteção ao Conficker, um para usuários domésticos, e outro para Administradores de T.I.
5 - Alguns detalhes técnicos das inovações utilizadas pelo Conficker, como o modelo de injeção na memória, para bypassar FW e HIPS - tem sido publicadas.
[ 15/01/2009 - Post Original ]
No último post sobre categorização de erros de programação relacionados à segurança de softwares, apontamos que não é fácil manter um nível adequado de segurança quando se desenvolve softwares complexos.
O problema:
A Microsoft não é exceção, e apesar das grandes evoluções com relação a segurança - incluindo uma abordagem madura de desenvolvimento seguro chamada "Secure Development Lifecycle (SDL)" - um erro de programação permitiu que hackers começassem no final de 2008 a explorar o "Server Service" via RPC (Remote Procedure Calls) em todas as versões do Windows (XP a 2008), sendo que em XP, 2000 e 2003 a exploração pode ser feita por um usuário não autenticado.
De volta ao passado:
Worms que se utilizam de exploits de RPC costumam ser muito bem sucedidos:
Sasser - http://www.secureworks.com/research/threats/sasser/
Blaster - http://www.cert.org/advisories/CA-2003-20.html
Depois destes dois, muita gente acreditou que seriam os últimos grandes "worms de rede". A lição é: Nunca diga nunca.
Complexidade + Conectividade:
Existe um post interessante na MSDN avaliando por que esta vulnerabilidade "passou batida" pelo processo de revisão de código e fuzz tests previstos no SDL - simplificando, a complexidade de uma função específica em C++ e a falta de controle estrito de seus argumentos em um loop permitiu a vulnerabilidade, que não é facilmente detectada por analisadores automatizados de qualidade de código.
Já em seu boletim de segurança MS08-67, publicado em 23/10/2008, a Microsoft alertou que a correção era emergencial e que a falha poderia ser exploradas transformar por WORM, pelas suas características e grande conectividade dos componentes envolvidos. Vale ressaltar que a vulnerabilidade já estava sendo utilizada por atacantes (até aquele momento, era um "0-day" - possivelmente muito valioso).
Simplicidade de Exploração:
Apenas duas horas depois da divlugação do boletim MS08-67, pesquisadores conseguiram codificar exploits 100% efetivos - dada a simplicidade de exploração da vulnerabilidade.
A partir de então, registrou-se um crescimento constante na exploração da vulnerabilidade (incluindo exploits públicos). Neste interim, o foco do mundo de segurança se voltou para outra vulnerabilidade crítica - desta vez afetando o Internet Explorer (MS08-78).
Enquanto isto os Worms (como o coreano Gimmiv) que exploram esta vulnerabiliade se sofisticaram, e nos últimos dias temos visto muitos alertas sobre o crescimento do WORM "Conficker" - também chamado de "Downadup" e "Kido".
Expansão Global:
O Worm Conficker / DownadUp está em plena expansão, em um ritmo de mais de um milhão de máquinas infectadas por dia (note que cada IP roteável na lista da F-Secure abaixo pode indicar uma rede com muitos computadores). O último cálculo feito indica que quase 4 milhões de máquinas estão infectadas, sendo que em suas análises iniciais, o Brasil era o segundo país com mais infecções!
Update (16/01/2009): A F-Secure divulgou novos números: 8976038 computadores infectados (9 milhões!) e 353495 endereços IPs envolvidos. A F-Secure detalhou mais tarde como chegou a estes números...
A Qualys divulgou que 30% dos computadores do mundo ainda estão vulneráveis ao vetor de exploração principal do WORM (Vuln. Windows RPC MS0867)
Sofisticação:
O Conficker / DownadUp utiliza algumas técnicas interessantes e bem sucedidas para garantir sua efetividade / propagação:
Além de explorar a vulnerabilidade RPC referente ao boletim MS08-67 (a) , ele :
(a) utiliza o exploit publicado pelo projeto metasploit, otimizando assim as taxas de infecções para diferentes versões e linguagens do Windows (usando fingerprinting smb).
(b) se copia para compartilhamentos sem senha,
(c) faz força bruta de senhas nos demais compartilhamentos (inclusive ADMIN$),
(d) se copia para dispositívos USB com uma interessante técnica de obsfuscação.
(e) se utiliza de métodos de engenharia social para se propagar
(f) impede a comunicação com vários sites de segurança/anti-virus para dificultar sua limpeza.
(g) utiliza nomes e extensões randômicas em seus arquivos, para evitar detecção
(h) usa técnicas de mudança de timestamp (iguala datas e horas de acesso/modificação/criação às do arquivo %System%\kernel32.dll)
(i) inicia um servidor HTTP em uma porta randômica da máquina infectada para garantir a atualização de seu código.
(j) Faz um hook na API NetpwPathCanonicalize para evitar que ele ou malware explore a vulnerabilidade RPC (MS08-67) novamente.
(k) Manda informações para seu dono de quantas máquinas conseguiu infectar (ex: 129 máquinas para a requisição "GET /search?q=129 HTTP/1.0") Mais info aqui.
(l) Utiliza uma variante simples do método "fast-flux" - garantindo a sobrevivência de atualizações (*)
* o endereço de atualização é escolhido dentre 250 possíveis dominios gerados por dia (seguindo um algorítimo interno). Desta forma o controlador do Worm precisa registrar apenas um destes domínios para comandar as maquinas (que consultam todos). A F-Secure aproveitou e registrou um dos domínios, conseguindo assim medir o tamanho do problema.
Identificação de Hosts Vulneráveis:
Uma sugestão minha para identificar o grau de infecção e quais IPs de uma rede local grande estão comprometidas: acompanhe HOJE E AMANHÃ as resoluções DNS para os domínios listados pela F-Secure ou registre em seu DNS interno os domínios utilizados pelo Worm, e faça com que eles resolvam um IP interno de um honeypot simples (ou deixe rodando um tcpdump que registre as tentativas de acesso ao domínio.
Defesa em profundidade:
1 - A mais óbvia defesa, esteja certo de que o PATCH - referente ao boletim MS08-67 - esteja aplicado em todas as máquinas sob sua responsabilidade.
2 - Esteja certo que as regras de Firewall estão com "default-deny" e bloqueand oacesso externo às portas 139/tcp e 445/tcp.
3 - Encontre e feche os compartilhamentos sem senha da sua rede antes do Worm
4 - Caso você tenha IDS/IPS internos, atualize suas regras e monitore pela tentativa de exploração desta vulnerabilidade.
5 - Usando uma solução SIM - Security Information Management, monitore os logs das suas máquinas Windows, usando regras de correlação para detectar a exploração da vulnerabilidade RPC MS08-067 e para detectar tentativas sucessivas de logon com falha (força bruta) em máquinas Vista e 2008.
6 - Inclua em seu Logon-Script alguma ferramenta de remoção automática do Conficker / DownadUp (F-secure F-Downadup.zip ou Microsoft Malicious Software Removal Tool).
7 - Desabilite USB Autoplay e Autorun em suas máquinas, e evite esta forma de propagação de vários malwares, dicas nestes links.
8 - Bloqueie (via dns, controle de conteúdo ou proxy) os possíveis domínios que serão utilizados futuramente (até o dia 16/01/2009) pelo Worm. Update (16/01/2009): A F-Secure divulgou o uma nova lista contendo 3749 domínios que podem ser utilizados pelo Worm até o dia 31/01/2009. Update 13/02/2009 - use esta lista de domínios mais atualizada (até 30/06/2009)
9 - Um bom anti-virus atualizado ajuda.
10 - Soluções de Segurança "In-The-Cloud" como a da Prevx, tem alardeado sucesso em bloquear todas as variantes deste Worm até o momento.
Gostei do post, bem informativo e completo, na nossa rede interna estamos lutando contra estra praga. As dicas serão úteis.
ReplyDeletePostei lá no ISTF, ok?
Osouza
Assustador, e Interessante!
ReplyDeleteExiste uma solução mais simples - largue o Windows e instale o Linux, ou melhor, compre um Mac! Heheh...
Muito descritivo seu post.
ReplyDeleteUsei-o como referência e linkei-o em meu blog.
Alexandre, obrigado pelo elogio e referência e parabéns pelo blog.
ReplyDeleteAdicionado aos meus feeds rss.
[ ]s,
Sandro Süffert
Não adianta usar Linux. Peguei essa praga de um micro com Linux no Campus Party 2009.
ReplyDeleteAnônimo (último comentário), foi mesmo o Conficker que você pegou?
ReplyDeleteTem certeza que foi de um computador rodando Linux? Gostaria de mais detalhes, se possível =0
Preciso de ajuda... tenho certeza que esse linux estah instalado no meu pc, pois nao consigo acessar alguns sites, entre eles a microssoft, symantec, f-secure... e além disso sou quase que totalmente leiga em relação a isso. Será se vc poderia me ajudar a tirar esse vírus do meu pc ?? Caso vc possa eu te passo meu e-mail...
ReplyDeleteDesculpa... ao invés de colocar VÍRUS, escrevi LINUX logo na primeira linha.... ^^
ReplyDeleteTchella, tente baixar este executável (Malicious Software Removal Tool) - que remove o WORM da sua máquina.
ReplyDeleteLink na Microsoft:
http://download.microsoft.com/download/4/A/A/4AA524C6-239D-47FF-860B-5B397199CBF8/windows-kb890830-v2.6.exe
Link alternativo:
http://mirror.leaseweb.com/windows/windows-kb890830-v2.6.exe
[ ]s e boa sorte!
EU TAVA COM ESSA PRAGA AQUI EM 2 COMPUTADORES. ACHO QUE AGORA CONSEGUI ME LIVRAR. OBRIGADO PELA AJUDA!
ReplyDeleteRESOLVII UM PROBLEMA COM ESTA PRAGA UM AMIGO ME PASSOU POR PENDRIVER - SUAS DICAS ACHEI VIA GOOGLE.
ReplyDeleteOBRIGADO
RENATO - SJRP
GENTE ME AJUDEM
ReplyDeleteOUVI DIZER QUE DIA 1º DE ABRIL UM VIRUS VAI INFECTAR VARIAS MAQUINAS...
ALGUEM SABE ESCLARECER ISSO
CIARA
RJ
se alguem me passar onde posso baixar esses viros posso dar um jeito nele valew . espero resposta pelo msn <--@--> ok fuiii ate mais
ReplyDeletec+++!*7()__=90¨6|*|xsB)
Parabéns pelo serviço público! Seu blog condensa muitas informações úteis em português sobre o Conficker (e outros assuntos).
ReplyDeleteOrlando Moraes [Recife, PE]
This comment has been removed by a blog administrator.
ReplyDeleteOtimo.... completo explicativo e finalmente alguém soube me informar o que fazer quando ele está em rede... grande post!
ReplyDelete