.

ClimbU.com

TESTDFS

Conficker – Guia definitivo de remoção

7, abril, 2009  ( atualizado em: 8, março, 2014 )
conficker

O vírus Conficker já infectou mais de 15 milhões de computadores ao redor do mundo, se tornando assim um dos piores vírus da história da informática.
Esse é um guia sem frescuras que mostra como remover o vírus conficker de uma vez por todas do seu computador ou da rede de computadores da sua empresa.

.

Este tutorial está sendo atualizado diariamente, fique atento às novidades.

O malware infecta sistemas Windows e se propaga através de três formas:

  1. Explorando uma vulnerabilidade no serviço SVCHOST – TCP/445, cuja falha ja foi corrigida pelo alerta MS08-067 da Microsoft;
  2. Executa ataques de força bruta contra redes compartilhadas, tantando adivinhar a senha de acesso do administrador e dos usuários do domínio ( bloqueia as contas do ad );
  3. Infecta dispositivos removiveis normalmente utilizados em diversos computadores(pen drives, cartões de memória USB, etc.).

Você pode fazer um teste rápido para saber se está infectado ou não, clique no link abaixo.

http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Instruções para usuários domésticos.

Baixe o arquivo de remoção da kaspersky -> http://infohelp.org/thales/conficker/KK.exe

Após executar o arquivo, se aparecer a tela abaixo, é por que você está infectado.

kidokiller2

Ou se a tela abaixo aparecer, é porque você não está infectado.

kidokillersemv2

Após rodar a ferramenta da kaspersky, instale o Patch de segurança da Microsoft que corrige a vulnerabilidade.

Windows XP BR -> http://www.microsoft.com/downloads/details.aspx?displaylang=pt-br&FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03

Outras versões do Windows -> http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Instale também um patch que desabilita o autorun, que é por onde a maioria dos vírus se propagam:  http://www.microsoft.com/downloads/details.aspx?displaylang=pt-br&FamilyID=c7dbcde3-7814-47c5-849e-e64ecfb35d74

Após isso, instale um antivírus de verdade, use F-secure ou Kaspersky, ambos podem ser encontrados em nosso site.

Resumo para remover o vírus.

  1. Instale o Patch da Microsoft.
  2. Rode o arquivo de remoção da Kaspersky.
  3. Reinicie o PC.
  4. Rode novamente o arquivo de remoção da Kasperky para ter certeza que o sistema está limpo.
  5. Instale um antivírus e faça uma varredura completa no seu sistema.

Instruções para Administradores de Redes.

Existem várias ferramentas na internet que varrem a rede a procura do conficker, mas a maioria é ineficiente, o problema com as outras ferramentas é o seguinte:

O Conficker possui uma rotina para enganar o PC, fazendo-o acreditar que está seguro e livre da infecção pois usa um patch próprio para “fechar a porta” após a infecção. Daí o problema em usar as outras ferramentas como essa abaixo, ela mostra que o PC está com o patch aplicado, mas na verdade é o patch do vírus que foi aplicado para despistar as ferramentas de segurança.

eeye

Cheguei a conclusão que a melhor ferramenta para  identificar computadores infectados e sem o patch de vulnerabilidade  na sua rede é o Nmap ->  http://nmap.org/dist/nmap-4.85BETA7-setup.exe

Após instalado, use a linha de comando abaixo:

nmap -PN -T4 -p139,445 -n -v —script smb-check-vulns,smb-os-discovery —script-args unsafe=1 ip_do_pc

Obs: antes das duas palavras  “script”  acima em vermelho, tem dois hifens, é que o editor de texto do site troca por um só na hora de salvar o tutorial.

Se o pc estiver infectado, ele mostrará a mensagem:

Conficker: Likely INFECTED

 

Se não estiver infectado, mostrará a mensagem:

Conficker: Likely CLEAN

Abaixo, a evidência que mostra que o vírus aplicou o seu próprio patch -> MS08-067: PATCHED ( possibly by Conficker

nmapinfected

Depois de remover o vírus do PC,  teremos a seguinte tela com a informação que o conficker foi limpo, mas o computador continua sem o patch da microsoft ->  MS08-067: VULNERABLE

nmapvulnerable

Após aplicar o patch teremos a tela abaixo mostrando que o computador não está mais vulnerável -> MS08-067:  FIXED

nmappatched

As ferramentas que uso em complemento ao nmap para varrer a rede são.

http://www.eeye.com/html/downloads/other/ConfickerScanner.html

http://www.mcafee.com/us/enterprise/confickertest.html

http://iv.cs.uni-bonn.de/uploads/media/scs_exe.zip

Fazendo o deploy do patch na rede.

Caso você não tenha um servidor de atualizações WSUS, com o psexec é possível fazer o deploy do patch da Microsoft em todos os computadores da rede remotamente.

http://download.sysinternals.com/Files/PsTools.zip

Baixe o pstools, crie uma pasta qualquer e copie o psexec que veio no pstools, copie o patch da microsoft e crie um arquivo chamado atualiza.txt

Coloque o nome dos computadores da sua rede dentro do arquivo atualiza.txt e salve.

patch

Após isso, a partir do prompt de comando, rode o comando abaixo.

psexec @atualiza.txt -u seudomínio\usuário -p suasenha -c -d WindowsXP-KB958644-x86-PTB.exe /quiet /norestart

cmd

Com esse comando, você instala o patch em todos os computadores da rede silenciosamente.

Mais informações sobre o psexec -> http://www.microsoft.com/brasil/technet/sysinternals/utilities/psexec.mspx

Você também pode habilitar a Política de bloqueio de contas no seu domínio para descobrir quais computadores estão infectados na sua rede, para isso, acesse o link abaixo.

http://social.technet.microsoft.com/forums/pt-BR/winsrv2003pt/thread/e772a01a-c0f6-48af-bc66-2817fe9e7f64/

Resumo para remover os vírus da rede.

  1. Faça um deploy na rede para instalação do patch de segurança e peça para os usuários reiniciarem os computadores.
  2. Rode o nmap para procurar algum computador infectado na rede.
  3. Rode o arquivo de remoção da Kaspersky caso ache algum vírus.
  4. Reinicie e faça um full scan com o seu antivírus.

Mantenha seu sistema operacional e seu antivírus sempre atualizado para evitar problemas como esse.

Relacionados

Twitter - Script para adicionar todos seguidores de um perfil
iDroid – Google Android dual-boot em seu iPhone (guia definitivo)
LightScribe - Imprima imagens diretamente nos seus CD/DVD's
Popcorn Time - Assista filmes em streaming HD via Torrent

Comentários:



TEST2DFS

Políticas e objetivos | Contato
Direitos reservados © INFOhelp.org
Qualquer informação ilegal aqui contida, é de domínio público, não incentivamos a pirataria.