Tudo sobre o vírus Downad (Downadup, Conficker, Kido)

Ao menos tudo o que conseguimos descobrir até agora. Creio que são os métodos mais efetivos para a remoção do vírus downad (downadup, conficker, kido).

Em primeiro lugar vou ser sincero. Não vai ser fácil remover o danado.

Cuidado, ao se logar em uma rede em um micro infectado com uma senha de administrador de rede ele pode usar os seus privilégios para atacar outras máquinas. Se logue como um usuário sem privilégios, depois execute um cmd como administrador (botão da direita / executar como…)

Aparentemente ele só ataca máquinas com Windows 2000 ou superior. Não ouvi ninguém reclamando de Windows 9x ou NT.

O recurso que mais me preocupa é que ele pode se atualizar através da internet. Enquanto os micros de sua rede não estiverem limpos a atualizados deixe-os sem conexão com a internet (gateways e proxies).

Sintomas:

Muitas portas 445 abertas (Mais de 100). Use o comando netstat -an para verificar. É deste jeito que ele executa os ataques Deny of Service (DOS).

Windows update para de funcionar.

Bloqueio ao acesso a sites de anti-vírus.

Em empresas com servidores de domínio estes servidores começam a apresentar alto uso de CPU e até travar. Os micros começam a ter dificuldade de se logar e as senhas dos usuários começam a bloquear. Acesse o event viewer no item segurança (Security) e procure pelos bloqueios de chave em grande quantidade, isso o ajudará a identificar máquinas infectadas.

Seu anti-vírus não carrega mais.

Servidores DNS apresentam alto uso de CPU. Instale o wireshark no servidor para capturar as requisições DNS (filtro de captura = port 53) do servidor e procure por pesquisas de endereço totalmente esdrúxulas, tipo asewrirj.cn (o final pode ser cn, biz, com, info), isso o ajudará a identificar máquinas infectadas.

Servidores WINS também são atacados. Use o wireshark no servidor para capturar as requisições WINS (filtro de captura = port 137) do servidor e procure por pesquisas de endereço totalmente esdrúxulas, tipo asewrirj.cn (o final pode ser cn, biz, com, info), isso o ajudará a identificar máquinas infectadas.

Se você conectar um pen-drive ele será infectado. Sendo criado um arquivo autorun.inf no pen-drive.

Métodos de infecção:

Vulnerabilidade divulgada pela Microsoft sob a identificação MS8-067.

Descoberta de senhas fracas. Não deixe senhas em branco, principalmente a do administrador do micro.

Pastas compartilhadas.

Pen-drives. Cuidado, o autorun do pen-drive infectado mostra uma mensagem bem similar à “Abrir a pasta para visualizar os arquivos, enganando o usuário e fazendo ele escolher a opção errada.

Bloqueio:

Aplicar o service pack mais atual para o seu sistema operacional; e

Aplicar a correção KB958644, conforme o sistema operacional.

A senha de administrador da máquina deve ser diferente de branco e da  lista usada pelo vírus.

Se necessário desabilitar temporariamente o serviço “servidor” do micro. Com isso o micro fecha todos os compartilhamentos e perde mais algumas funcionalidades.

Remoção:

Ferramenta de remoção KB800830 (MSRT). Mais informação neste link para o site da Microsoft; e/ou

Removedor da Symantec.

Removedor da BitDefender (atualizado em 13/03/2009).

Removedor da Sophos, inclui ferramenta para executar em micros de um dominio (atualizado em 31/03/2009).

Após remover o vírus, reinstalar o anti-vírus e atualizá-lo.

Fique de olho nos micros infectados para ver se o vírus não retorna. Em caso de reincidências diversas recomendo formatação, com posterior reinstalação do S.O., seguido de aplicação do service pack mais atual, da correção KB958644 e instalação do anti-vírus tudo com o micro fora de rede. Só depois conectá-lo a rede.

Mais informações em:

Symantec

Estatísticas

Mcafee

Trend

Avira

Sophos

Microsoft

Espero que estas informações o ajude.

12 Responses to “Tudo sobre o vírus Downad (Downadup, Conficker, Kido)”

1. vicentesloboda no diHITT
   January 20th, 2009 @ 9:32
   Tudo sobre o vírus Downad/Conficker/Kido…

   leia mais……

2. Vicente via Rec6
   January 20th, 2009 @ 9:33
   Tudo sobre o vírus Downad/Conficker/Kido…

   leia mais……

3. O que deve mudar depois do super-vírus - Blog do Vicente
   January 20th, 2009 @ 17:48
   [...] não será fácil reestabelecer os serviços de TI plenamente tão cedo. Tudo por causa do vírus Downad, também conhecido como Conficker e Kido. Pela sua versatilidade, métodos de infecção variados e dificuldade de remoção, tem sido um [...]
4. Lyanne
   January 30th, 2009 @ 8:54
   Meu pc está infectado e um dos sites q eu não consigo acessar é o da microsoft.
   Tem como excluir esse vírus?
   Por favor responda pro meu e-mail.
   Agradeço desde já!
5. Microsoft anuncia recompensa de US$ 250 mil para “capturar” piratas virtuais - Blog do Vicente
   February 13th, 2009 @ 12:49
   [...] acuse formalmente os supostos piratas virtuais responsáveis pela propagação ilegal do vírus Conficker, na quinta-feira [...]
6. Conficker: O que muda depois do super-vírus | Tecnologia no Ar
   March 12th, 2009 @ 12:31
   [...] não será fácil reestabelecer os serviços de TI plenamente tão cedo. Tudo por causa do vírus Downad, também conhecido como Conficker e Kido. Pela sua versatilidade, métodos de infecção variados e dificuldade de remoção, tem sido um [...]
7. Blog do Vicente
   March 13th, 2009 @ 10:36
   [...] Como eu já havia comentado o vírus downadup consegue se atualizar pela internet. Graças a isso no dia 1º de abril uma nova variante, que já está se alastrando por ai, se ativará e começará a fazer o maior estrago nas redes de computador. [...]
8. Atualização do Downadup (Downadup, Conficker, Kido) - Blog do Vicente
   March 31st, 2009 @ 9:58
   [...] Amanhã, dia 1º de abril, o vírus Downadup deverá se atualizar. Se nas versões anteriores ele já provocou grandes estragos não quero nem ver o que ele vai fazer desta vez. Esteja preparado. [...]
9. Conficker não foi ativado em 1 de Abril - Blog do Vicente
   April 2nd, 2009 @ 20:55
   [...] dia 1º de abril passou sem o registro de grandes danos causados pelo vírus Conficker, também conhecido como Downadup, Kido ou Downad, mas ainda assim ele ganhou [...]
10. Giovanna Schiavão
    April 24th, 2009 @ 11:34
    Gostaria de saber que danos o conficker tras ao computador.
11. Márcio
    April 27th, 2009 @ 12:49
    Para saber os danos que o conficker pode causar leia http://blogdovicente.com/2009/04/27/boas-e-mas-noticias-sobre-o-confiker/
12. O Conficker continua firme e forte - Blog do Vicente
    September 1st, 2009 @ 11:08
    [...] Conficker continua firme e forte Posted on September 1st, 2009 by Márcio O Conficker, também conhecido por Downadup ou Kido, fez um grande estrago em várias empresas de janeiro a [...]

Deixe um comentário!

Nome (obrigatório)

Email (obrigatório)

Website

Comentários