O vírus Conficker já infectou mais de 15 milhões de computadores ao redor do mundo, se tornando assim um dos piores vírus da história da informática.
Esse é um guia sem frescuras que mostra como remover o vírus conficker de uma vez por todas do seu computador ou da rede de computadores da sua empresa.

.

Este tutorial está sendo atualizado diariamente, fique atento às novidades.

O malware infecta sistemas Windows e se propaga através de três formas:

1. Explorando uma vulnerabilidade no serviço SVCHOST – TCP/445, cuja falha ja foi corrigida pelo alerta MS08-067 da Microsoft;
2. Executa ataques de força bruta contra redes compartilhadas, tantando adivinhar a senha de acesso do administrador e dos usuários do domínio ( bloqueia as contas do ad );
3. Infecta dispositivos removiveis normalmente utilizados em diversos computadores(pen drives, cartões de memória USB, etc.).

Você pode fazer um teste rápido para saber se está infectado ou não, clique no link abaixo.

http://infohelp.org/thales/conficker.htm

ou http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Baixe o arquivo de remoção da kaspersky -> http://infohelp.org/thales/conficker/KK.exe

Após executar o arquivo, se aparecer a tela abaixo, é por que você está infectado.

Ou se a tela abaixo aparecer, é porque você não está infectado.

Após rodar a ferramenta da kaspersky, instale o Patch de segurança da Microsoft que corrige a vulnerabilidade.

Windows XP BR -> http://www.microsoft.com/downloads/details.aspx?displaylang=pt-br&FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03

ou pelo link -> http://infohelp.org/thales/conficker/WindowsXP-KB958644-x86-PTB.exe

Outras versões do Windows -> http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Instale também um patch que desabilita o autorun, que é por onde a maioria dos vírus se propagam:  http://www.microsoft.com/downloads/details.aspx?displaylang=pt-br&FamilyID=c7dbcde3-7814-47c5-849e-e64ecfb35d74

Após isso, instale um antivírus de verdade, use F-secure ou Kaspersky.

Resumo para remover o vírus.

1. Instale o Patch da Microsoft.
2. Rode o arquivo de remoção da Kaspersky.
3. Reinicie o PC.
4. Rode novamente o arquivo de remoção da Kasperky para ter certeza que o sistema está limpo.
5. Instale um antivírus e faça uma varredura completa no seu sistema.

Existem várias ferramentas na internet que varrem a rede a procura do conficker, mas a maioria é ineficiente, o problema com as outras ferramentas é o seguinte:

O Conficker possui uma rotina para enganar o PC, fazendo-o acreditar que está seguro e livre da infecção pois usa um patch próprio para “fechar a porta” após a infecção. Daí o problema em usar as outras ferramentas como essa abaixo, ela mostra que o PC está com o patch aplicado, mas na verdade é o patch do vírus que foi aplicado para despistar as ferramentas de segurança.

Cheguei a conclusão que a melhor ferramenta para  identificar computadores infectados e sem o patch de vulnerabilidade  na sua rede é o Nmap ->  http://nmap.org/dist/nmap-4.85BETA7-setup.exe

Após instalado, use a linha de comando abaixo:

nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args unsafe=1 ip_do_pc

Obs: antes das duas palavras  ”script”  acima em vermelho, tem dois hifens, é que o editor de texto do site troca por um só na hora de salvar o tutorial.

Se o pc estiver infectado, ele mostrará a mensagem:

Conficker: Likely INFECTED

Se não estiver infectado, mostrará a mensagem:

Conficker: Likely CLEAN

Abaixo, a evidência que mostra que o vírus aplicou o seu próprio patch -> MS08-067: PATCHED ( possibly by Conficker

Depois de remover o vírus do PC,  teremos a seguinte tela com a informação que o conficker foi limpo, mas o computador continua sem o patch da microsoft ->  MS08-067: VULNERABLE

Após aplicar o patch teremos a tela abaixo mostrando que o computador não está mais vulnerável -> MS08-067:  FIXED

As ferramentas que uso em complemento ao nmap para varrer a rede são.

http://www.eeye.com/html/downloads/other/ConfickerScanner.html

http://www.mcafee.com/us/enterprise/confickertest.html

http://iv.cs.uni-bonn.de/uploads/media/scs_exe.zip

Caso você não tenha um servidor de atualizações WSUS, com o psexec é possível fazer o deploy do patch da Microsoft em todos os computadores da rede remotamente.

http://download.sysinternals.com/Files/PsTools.zip

Baixe o pstools, crie uma pasta qualquer e copie o psexec que veio no pstools, copie o patch da microsoft e crie um arquivo chamado atualiza.txt

Coloque o nome dos computadores da sua rede dentro do arquivo atualiza.txt e salve.

Após isso, a partir do prompt de comando, rode o comando abaixo.

psexec @atualiza.txt -u seudomínio\usuário -p suasenha -c -d WindowsXP-KB958644-x86-PTB.exe /quiet /norestart

Com esse comando, você instala o patch em todos os computadores da rede silenciosamente.

Mais informações sobre o psexec -> http://www.microsoft.com/brasil/technet/sysinternals/utilities/psexec.mspx

Você também pode habilitar a Política de bloqueio de contas no seu domínio para descobrir quais computadores estão infectados na sua rede, para isso, acesse o link abaixo.

http://social.technet.microsoft.com/forums/pt-BR/winsrv2003pt/thread/e772a01a-c0f6-48af-bc66-2817fe9e7f64/

Resumo para remover os vírus da rede.

1. Faça um deploy na rede para instalação do patch de segurança e peça para os usuários reiniciarem os computadores.
2. Rode o nmap para procurar algum computador infectado na rede.
3. Rode o arquivo de remoção da Kaspersky caso ache algum vírus.
4. Reinicie e faça um full scan com o seu antivírus.

Mantenha seu sistema operacional e seu antivírus sempre atualizado para evitar problemas como esse.

Relacionados