Os sites McAfee Secure ajudam a mantê-lo protegido contra roubo de identidade, fraude de cartão de crédito, spyware, spam, vírus e fraudes on-line
Empresas - Página PrincipalMcAfee LabsAmeaças graves

Proteja-se contra o worm Conficker

Há muita discussão sobre como o Conficker fará estragos no dia 1º de abril. O Conficker, denominado W32/Conficker.worm, começou a infectar sistemas no final de 2008 explorando uma vulnerabilidade no Microsoft Windows. Desde então, a McAfee percebeu duas outras variantes deste worm e muitos binários, arquivos prontos para se carregar em memórias e serem executados, que carregam a carga mal-intencionada do worm. Conficker.C é a variante mais recente. Seu "protocolo que liga para a origem" mudará quarta-feira, 1º de abril, e pode implicar em uma atualização com algumas funções ainda desconhecidas.

A McAfee já oferece proteção contra o worm Conficker por meio dos produtos para rede e terminais, e a Microsoft criou um patch de segurança para a vulnerabilidade que a família dos Confickers tem usado para se propagar. Contudo, muitos usuários continuam se preocupando com a infecção. As informações abaixo ajudarão a entender mais sobre o worm, os passos que podem ser tomados para limpar um sistema infectado e as medidas para evitar a reinfecção.

Sintomas

Os sintomas da infecção pelo Conficker incluem o seguinte:

  • Acesso bloqueado a sites sobre segurança
  • Usuários bloqueados fora do diretório
  • O tráfego é enviado por meio da porta 445 em servidores de serviço fora do diretório (DS)
  • Acesso negado a unidades compartilhadas pelo administrador
  • Arquivos Autorun.inf são colocados no diretório reciclado ou na lixeira

Método de Infecção

O Conficker.C é a variante mais recente do worm Conficker. A exposição ao Conficker.C é limitada a sistemas que ainda estão infectados com variantes anteriores, Conficker.A e Conficker.B, que operam por meio da exploração da vulnerabilidade MS08-067 no Microsoft Windows Server Service. Se a vulnerabilidade for explorada, ela pode permitir a execução remota do código quando o compartilhamento de arquivos for habilitado. O Conficker combate os esforços de prevenção criando tarefas programadas e/ou utilizando arquivos autorun.if para se reativar.

A McAfee identificou milhares de binários que carregam a carga do Conficker. Dependendo da variante específica, o worm pode se espalhar por meio de LAN, WAN, web ou drives removíveis e explorando senhas fracas. O Conficker desabilita diversos serviços importantes do sistema e produtos de proteção, além de baixar arquivos arbitrários. Computadores infectados pelo worm tornam-se parte de um "exército" de computadores comprometidos e podem ser usados para enviar ataques a sites, distribuir spam, hospedar sites com ataques de phising ou executar atividades mal-intencionadas.

Remoção

Aconselhamos que os clientes sigam os seguintes passos para remover o W32/Conficker.worm e evitar que ele se espalhe:

  1. Instale o Microsoft Security Update MS08-067: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
  2. Limpe os sistemas infectados e reinicie o computador
    Utilize soluções anti-malware como o McAfee VirusScan Plus ou ToPS for Endpoint para limpar a infecção. Utilize técnicas de detecção por comportamento como proteção de estouro de buffer no Host IPS para evitar infecções futuras. Isso é importante porque o Conficker pode se propagar por meio de mídia portátil como unidades USB infectadas. Conforme as mídias são acessadas, o sistema processa o autorun.inf e executa o ataque. Para obter mais informações, leia o documento do McAfee LabsTM, “Combatendo o worm Conficker.”
  3. Identifique outros sistemas com risco de infecção
    É preciso identificar quais sistemas estão em risco. A lista inclui sistemas que não estejam com patches da vulnerabilidade MS08-067 da Microsoft ou não tenham controles proativos de proteção para atenuar a vulnerabilidade. O McAfee Vulnerability Manager e o ePolicy Orchestrator identificam sistemas que estejam vulneráveis e não protegidos.
  4. Limite a capacidade de propagação da ameaça
    O uso do IPS em pontos estratégicos da rede limitará rapidamente a capacidade de propagação da ameaça. Isso dará tempo para atualizar as características do seu cliente de antivírus ou modificar as políticas para bloquear a ameaça utilizando controles por comportamento.

Cobertura do worm Conficker com os produtos da McAfee

Produto da McAfeeCobertura
McAfee VirusScan Plus

McAfee Internet Security

McAfee Total Protection		 Os mais recentes arquivos de características (DAT) incluem detecção e recuperação deste worm. Caso já tenha realizado uma atualização recentemente você já está protegido.
ToPS Endpoint e ToPS Service Os arquivos de características (DAT) fornecem detecção e reparação desse worm

Espera-se que a proteção contra estouro de buffer em uma mecanismo de varredura e o Estouro de Buffer Genérico em host IPS cubram as explorações de execução de códigos. O Host IPS também inclui características para "Vulnerabilidade no Serviço de Servidor pode permitir a execução remota de programas" (CVE-2008-4250)
Plataforma de segurança de rede (IntruShield) Inclui proteção para "Vulnerabilidade de execução remota de código no serviço de servidor da Microsoft"
Gerenciamento de Vulnerabilidades da McAfee (VM) Inclui cobertura para MS08-067. Identifica os computadores vulneráveis à infecção pelo Conficker bem como os computadores infectados pelo Conficker C
McAfee Web Gateway (antigo Webwasher) Inclui características para detectar e bloquear o worm no gateway
McAfee SmartFilter Fornece informações de reputação e categorização para domínios associados ao worm Conficker
Ferramenta da McAfee para detecção do Conficker Identifica computadores infectados pelo Conficker.C
Best Practices in Data Protection

Entre em contato conosco

Entre em contato com seu representante da McAfee ou parceiro de canal para esclarecer qualquer dúvida - ligue para 888.847.8766, 24 horas, 7 dias por semana.

Brasil - Português