Tudo sobre o vírus Downad (Downadup, Conficker, Kido)

Ao menos tudo o que conseguimos descobrir até agora. Creio que são os métodos mais efetivos para a remoção do vírus downad (downadup, conficker, kido).

Em primeiro lugar vou ser sincero. Não vai ser fácil remover o danado.

Cuidado, ao se logar em uma rede em um micro infectado com uma senha de administrador de rede ele pode usar os seus privilégios para atacar outras máquinas. Se logue como um usuário sem privilégios, depois execute um cmd como administrador (botão da direita / executar como…)

Aparentemente ele só ataca máquinas com Windows 2000 ou superior. Não ouvi ninguém reclamando de Windows 9x ou NT.

O recurso que mais me preocupa é que ele pode se atualizar através da internet. Enquanto os micros de sua rede não estiverem limpos a atualizados deixe-os sem conexão com a internet (gateways e proxies).

Sintomas:

Muitas portas 445 abertas (Mais de 100). Use o comando netstat -an para verificar. É deste jeito que ele executa os ataques Deny of Service (DOS).

Windows update para de funcionar.

Bloqueio ao acesso a sites de anti-vírus.

Em empresas com servidores de domínio estes servidores começam a apresentar alto uso de CPU e até travar. Os micros começam a ter dificuldade de se logar e as senhas dos usuários começam a bloquear. Acesse o event viewer no item segurança (Security) e procure pelos bloqueios de chave em grande quantidade, isso o ajudará a identificar máquinas infectadas.

Seu anti-vírus não carrega mais.

Servidores DNS apresentam alto uso de CPU. Instale o wireshark no servidor para capturar as requisições DNS (filtro de captura = port 53) do servidor e procure por pesquisas de endereço totalmente esdrúxulas, tipo asewrirj.cn (o final pode ser cn, biz, com, info), isso o ajudará a identificar máquinas infectadas.

Servidores WINS também são atacados. Use o wireshark no servidor para capturar as requisições WINS (filtro de captura = port 137) do servidor e procure por pesquisas de endereço totalmente esdrúxulas, tipo asewrirj.cn (o final pode ser cn, biz, com, info), isso o ajudará a identificar máquinas infectadas.

Se você conectar um pen-drive ele será infectado. Sendo criado um arquivo autorun.inf no pen-drive.

Métodos de infecção:

Vulnerabilidade divulgada pela Microsoft sob a identificação MS8-067.

Descoberta de senhas fracas. Não deixe senhas em branco, principalmente a do administrador do micro.

Pastas compartilhadas.

Pen-drives. Cuidado, o autorun do pen-drive infectado mostra uma mensagem bem similar à “Abrir a pasta para visualizar os arquivos, enganando o usuário e fazendo ele escolher a opção errada.

Bloqueio:

Aplicar o service pack mais atual para o seu sistema operacional; e

Aplicar a correção KB958644, conforme o sistema operacional.

A senha de administrador da máquina deve ser diferente de branco e da  lista usada pelo vírus.

Se necessário desabilitar temporariamente o serviço “servidor” do micro. Com isso o micro fecha todos os compartilhamentos e perde mais algumas funcionalidades.

Remoção:

Ferramenta de remoção KB800830 (MSRT). Mais informação neste link para o site da Microsoft; e/ou

Removedor da Symantec.

Removedor da BitDefender (atualizado em 13/03/2009).

Removedor da Sophos, inclui ferramenta para executar em micros de um dominio (atualizado em 31/03/2009).

Após remover o vírus, reinstalar o anti-vírus e atualizá-lo.

Fique de olho nos micros infectados para ver se o vírus não retorna. Em caso de reincidências diversas recomendo formatação, com posterior reinstalação do S.O., seguido de aplicação do service pack mais atual, da correção KB958644 e instalação do anti-vírus tudo com o micro fora de rede. Só depois conectá-lo a rede.

Mais informações em:

Symantec

Estatísticas

Mcafee

Trend

Avira

Sophos

Microsoft

Espero que estas informações o ajude.