Citar:“This worm, detected as Win32/Conficker.C, is getting ready for April Fool’s Day on 1 April, although it definitely won’t be fooling around. On that day, Conficker.C will commence its attempt to generate 50,000 URLs daily and try to access (download or report back to) 500 of them. It is a clever strategy, but the security industry is certainly on the lookout.”

The warning from CA is important, but how will the companies who have teamed up to deal with Conficker handle 50,000 domains, at one time, daily? So far none of them have mentioned any solid plans.

Citar:Posts Tagged ‘W32/Conficker.C.Worm’
Alerta de Malware em Portugal
Tuesday, January 6th, 2009

A Panda Security detectou no nosso país um aumento das ocorrências provocadas por dois códigos maliciosos, o W32/Conficker.C.Worm e o Trj/HideOptions.b, que, actuando de forma conjunta e tirando partido de uma vulnerabilidade presente nos sistemas operativos Microsoft, desencadeiam uma série de acções maliciosas que podem colocar em causa a produtividade das redes empresariais e a correcta comunicação dos computadores com a Internet.



A ameaça detectada é composta pela utilização conjunta de dois códigos maliciosos: o Trj/HideOptions.b (sob a forma de um ficheiro “autorun.inf”) é copiado para todas as drives internas, dispositivos externos ou localizações na rede pelo W32/Conficker.C.Worm que procura assim mais um meio de propagação. Para obter privilégios de administração, o malware tira partido da vulnerabilidade descrita no Boletim de Segurança Microsoft MS08-067 (10/2008) e que afecta todos os sistemas operativos Windows a partir da versão 2000.



Ao ser executado numa máquina, o W32/Conficker.C.Worm leva a cabo as seguintes acções:



· Cria e executa diversas DLLs, bem como um serviço no Windows

· Bloqueia os serviços do Windows Background Intelligent Transfer Service (BITS) e Windows Automatic Update Service (wuauserv)

· Apaga pontos de restauro definidos pelo utilizador

· Altera as configurações de rede do Windows para se propagar mais rapidamente

· Procura ocultar-se no sistema e dificultar a sua remoção

· Copia o ficheiro Trj/HideOptions.b (sob a forma de um ficheiro “autorun.inf”) é copiado para todas as drives internas, dispositivos externos ou localizações na rede, nomeadamente a shares administrativas, utilizando um conjunto de passwords pré-definidas.

· Instala um servidor HTTP e envia o seu IP para uma localização exterior

· Actualiza-se a partir da Internet



O malware impede ainda que a vulnerabilidade seja explorada por outros códigos maliciosos e bloqueia a ligação a sites de fabricantes de segurança, o que pode em algumas circunstâncias impedir que as soluções anti-malware sejam correctamente actualizadas.



É altamente recomendada a actualização dos sistemas operativos para a correcção das vulnerabilidades presentes no Boletim de Segurança MS08-067. Esta actualização está disponível desde Outubro e é considerada como Crítica pela Microsoft. A actualização dos sistemas impedirá a propagação do código malicioso através da rede empresarial.

(31-03-2009 12:37)likas Escreveu:  Já existe bastante informação sobre o virus, por norma tenho medo dos virus "silenciosos", não de um com data de lançamento anunciada. Da experiencia que tenho, penso que a activação do virus, no dia 1 de Abril, só poderá querer desviar as atenções. Já existem bastantes softwares para protecção e remoção do Conficker.

Segundo a Microsoft, o vírus é conhecido também por:
Win32/Conficker.worm.88064 (AhnLab)
Win32.Worm.Downadup.Gen (BitDefender)
Win32/Conficker.C (CA)
Win32/Conficker.X (ESET)
Trojan.Win32.Pakes.ngs (Kaspersky)
W32/Conficker.worm.gen.c (McAfee)
W32/Conficker.D.worm (Panda)
W32/Confick-G (Sophos)
W32.Downadup.C (Symantec)

Como removê-lo?

1. Faça download de um programa de remoção disponibilizado pela Norton(W32.Downadup Removal Tool)
2. Guarde o executável no Ambiente de Trabalho.
3. Feche todos os programas que possuí aberto, incluindo os programas de protecção do utilizador.
4. Desligue o cabo da Internet do seu computador.
5. Desactivar o Restauro do Sistema. Para isso carrega na Tecla Win + Pause e faça o seguinte:
5.1 - XP: Separador “Restauro do Sistema” e tire o visto do disco onde está instalado o Windows.
5.2- Vista: Clique em “Definições avançadas do sistema”, Separador “Protecção do Sistema” e tire o visto do disco onde está instalado o Windows.
6. Faça agora então o duplo clique do ficheiro que descarregou da Norton.
7. Aceite os Termos impostos pela Norton. De seguida clique em Start para o aplicativo começar a correr.
8. Quando o aplicativo “terminar a sessão”, reinicie o PC.
9. Corra novamente a aplicação para verificar se o problema ainda persiste.
10. Como nada aparece, volte a activar o “Restauro do sistema” exactamente da mesma maneira da alínea 5.
11. Volte a colocar o cabo de Internet no computador, actualize os seus programas de protecção e verifique se possui todas as actualizações do Windows Update (suponho que o vosso Windows seja original…).


Actualização Microsoft
Protecção
Resumidamente aconselham a ligar a firewall, instalar esta ferramenta
http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=eng
(mudar a linguagem conforme o caso ex: ENG ou PTG)

Remoção
para remover o verme e de seguida instalar as actualizações de software, em especial esta.
http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx