[KB2209] Conficker - Como posso me proteger?

Problema

Seu risco de exposição a ameaça Win32/Conficker é por causa de uma vulnerabilidade do sistema operacional da Microsoft (a Microsoft lançou um patch para essa vulnerabilidade em Outubro de 2008). Para ajudar a evitar a infecção causada pelas vulnerabilidades do sistema operacional da Microsoft, assegure-se de que seu computador (e todos os computadores em sua rede) esteja sempre atualizado com a versão mais recente das atualizações da Microsoft Windows. Você pode encontrar as atualizações mais recentes em http://update.microsoft.com/.

 

 

Para se proteger do Conficker, siga as instruções passo a passo no artigo. Ou clique no link apropriado abaixo para pular para uma seção específica: 

 

Solução

Prevenindo a infecção

A - Faça o download dos patches de segurança da Microsoft

Se você não deseja fazer o download de todas as atualizações Windows, mas quer se assegurar que você está pelo menos protegido contra as ameaças Win32/Conficker, faça o download e instale os patches (KB958644, KB957097 e KB958687) dos seguintes Boletins de Segurança da Microsoft:

 

B - Desailitar Autorun e Autoplay (Windows XP e Windows Vista)

Você talvez queira desabilitar as funcionalidades Autorun e Autoplay no seu sistema Windows para prevenir que produtores de softwares maliciosos abusem dessas falhas de segurança. Os drives USB e outras mídias removíveis, que são acessados pelas funcionalidades Autorun/Autoplay a todo momento quando (por padrão) você os conecta a seu computador, são os condutores de vírus mais frequentemente usados atualmente.  Autorun e Autoplay da Microsoft Windows são funcionalidades que tiveram a intenção inicialmente de simplificar a rodagem do conteúdo de um CD automaticamente:


(i) executando o arquivo Autorun.inf (e quaisquer outras instruções maliciosas possíveis que ele contenha) - Vulnerabilidade Autorun

(ii) abrindo uma janela pop-up com as ações disponíveis (algumas das quais podem ser gatilhos hostís de Autorun.inf malicioso) - Vulnerabilidade Autoplay

NOTA:

Alguns termos usados nos passos abaixo podem diferir levemente, dependendo do seu navegador.

  1. Se você quiser desabilitar o Autorun e o Autoplay, clique com o botão direito neste link para fazer o download do arquivo DisableAutorun.reg e selecione Salvar link como...
     
  2. Na janela Salvar como, assegure-se que:

    (i) o menu selecionável Salvar como tipo esteja configurado para Todos os arquivos ou Entradas de registro (*.reg) (ou similar, dependendo do seu navegador)

    (ii) o campo Nome do arquivo contenha o nome exato do arquivo de registro (isto é,. DisableAutorun.reg)
     
  3. Clique em Salvar. Confirme em qualquer prompt para salvar o arquivo de registro. 
     
  4. Clique duas vezes no arquivo salvo e confirme adicionando a entrada de registro clicando em Sim. Clique em OK para finalizar.

Cuidado:

Depois de importar o arquivo baixado no seu Registro de Windows, qualquer arquivo Autorun.inf será ignorado por seu sistema. Enquanto isso desabilita a funcionalidade Autorun completamente, a funcionalidade Autoplay continuará a aparecer. Contudo, ela excluirá as opções potencialmente perigosas de Autorun.inf. Você deve ter em mente que essas medidas de segurança preventiva não erradicam as potenciais infecções por malware. Recomendamos cuidado extremo quando for abrir/executar/clicar em qualquer arquivo desconhecido! 

Importante!

O arquivo baixado deve ser salvo como uma extensão .reg para funcionar de maneira adequada. Se você clicar duas vezes no arquivo e ele não rodar, abra a janela de diálogo Editor de registro, clique com o botão direiro no ícone do arquivo, selecione Propriedades e edite o nome do arquivo na aba Geral  para assegurar que as últimas quatro cadeias de caracteres do nome do arquivo sejam .reg. Confirme em qualquer prompt para salvar suas mudanças.

NOTA:

Recomendamos a leitura do seguinte artigo para mais informações sobre esta solução.


B2 - Como reabilitar o Autorun e o Autoplay (Windows XP e Windows Vista)

Se você precisar desfazer as mudanças que você fez, siga as instruções da seção B (acima) clique com o botão direito neste link para fazer o download do arquivo ReenableAutorun.reg e repita as instruções da seção B (acima), mas apenas desta vez use o arquivo ReenableAutorun.reg.

Importante!

Você precisará reiniciar seu computador para que as mudanças tenham efeito.

NOTA:

Adicionalmente ao download e instalação dos patches de segurança mais recentes, você pode tomar outras medidas de precaução para reduzir o risco de infecção. Clique aqui para mais estratégias sobre como minimizar os riscos de ataque de malware. Se você não é um administrador de rede, clique aqui para os passos que você pode seguir para minimizar uma infeção na sua rede.

 

Passos de limpeza (máquina única)


Se você encontrou ou encontrar o malware Win32/Conficker, uma versão atualizada completa do produto ESET (versão 3.0 ou posterior) limpará a infecção.

Importante!

Para evitar a reinfecção do sistema operacional, um patch deve ser usado de maneira apropriada, usando todos os links da seção A acima.

  1. Desconecte o computador infectado da rede e da Internet.
     
  2. Use um PC não infectado para fazer o download dos patches respectivos de Windows da seção A acima. Instale todos os patches.
     
  3. Resete suas senhas do sistema para as contas de administrador usando senhas mais sofisticadas. Note que a infiltração pode se espalhar através das pastas compartilhadas.

    (i.) Pressione CTRL+ALT+DELETE e então clique em Mudar senha...

    (ii.) Digite sua senha velha, digite sua nova senha, digite sua nova senha de novo para confirmá-la e então pressione ENTER.
     
  4. Faça o download do aplicativo único da ESET (novamente, usando um PC não infectado) que removerá o worm. Se você não tem um produto ESET (3.0 ou posterior) instalado, você pode fazer o download (usando um PC não infectado) e rodar nosso limpador autônomo gratuito
  5. Faça o download e instale a versão mais recente do seu software ESET.
     
 
Para verificar se o limpador autônomo removeu a ameaça Conficker, rode novamente o limpador autônomo e então rode um  escaneamento com seu produto ESET.
 
Depois de rodar com sucesso o limpador autônomo da ESET, recomendamos que você leia o seguinte artigo da Microsoft para informações sobre patches de segurança importantes e recomendamos mudanças de grupo:

NOTA:

Se o limpador autônomo da ESET não remover completamente a ameaça Conficker, o artigo da Microsoft acima também contém as instruções da remoção manual do Conficker.

 
 
Para máxima proteção contra futuras ameaças, assegure-se de que seu sistema operacional tenha um patch de acordo com as recomendações da Microsoft e que seu produto ESET esteja atualizado.

Importante!

Para conseguir mais informações sobre como se proteger contra o worm Conficker, por favor, veja  nosso blog ESET.

Passo de limpeza (rede)

Use o NMap para localizar máquinas infectadas

Se você suspeita que uma infecção Conficker está nos computadores de sua rede, você pode usar o serviço grátis NMap para detectar clientes infectados usando os seguinte comandos:

  • Para escanear sua rede: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [target networks]
     
  • Para um escaneamento rápidonmap -p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 [target networks]
     
  • Para um escaneamento em profundidadenmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args checkall=1,safe=1 -T4 [target networks]
  1. Se você não quer fazer o download de todas as atualizações do Windows, mas quer assegurar que você esteja pelo menos protegido contra as ameaças Win32/Conficker, faça o download e instale os patches (KB958644, KB957097 e KB958687) nos seguintes Boletins de Segurança da Microsoft em todas as suas máquinas de sua rede:

    Patches não são necessários para Windows 7 e Server 2008

    Os patches abaixo não são necessários para o Windows 7 ou Server 2008 r2, já que o exploit usado pelo Conficker não existe nesses sistemas operacionais. Contudo, o Microsoft Windows Server 2008 requer os patches abaixo.

  2. Instale e atualize uma solução de segurança da ESET em todas as máquinas:
  3. Mude todas as senhas da rede, já que o Conficker usa quaisquer senhas que já tenham sido logadas ou obtidas por força bruta.
     
  4. Rode a  Ferramenta de remoção do Conficker ESET em cada máquina:
  5. Remova quaisquer tarefas agendadas que foram criadas pelo Win32/Conficker usando o seguinte comando nos clientes:

    at /delete /yes
     

Se os passos acima não resolverem a questão, resete todas as senhas e então faça os passos seguintes para identificar quais máquinas ainda estão tentando espalhar a infecção:

  1. Acione a auditoria de Eventos de Logins falhos:
    1. Em seu(s) Controlador(es) de Domínio, clique em Iniciar → Ferramentas Administrativas → Políticas de Segurança para Controle de Domínio

    2. Navegar para Configurações de segurança → Políticas Locais → Auditar Políticas → Auditar Eventos de Login.
    3. Assegure-se de que Auditar Eventos de Login esteja configurado para gravar todos os eventos de Sucesso e Falha.
  2. Monitore o relatório de Evento de Segurança em seu(s) Controlador(es) de Domínio para Eventos com IDs 529 (se nenhum evento 529 estiver ocorrendo, então o Win32/Conficker está usando as senhas administrativas corretas - suas senhas entretanto terão que ser trocadas.
     
  3. Quando estiver visualizando as propriedades do evento, você verá um "Nome de estação de trabalho". Este será o culpado, ou um dos culpados, que está tentando infectar outros computadores.
     
  4. Vá para cliente(s) identificado(s) e repita os passos 1-5 acima.


Depois de completar os passos acima para Passos de limpeza (Rede), todas as senhas Administrativas devem ser mudadas novamente para assegurar  que o Conficker não terá nenhuma dessas senhas. Se o Conficker ainda estiver mostrando ameaças depois de todas as máquinas terem recebido um patch, então há ainda alguma que não recebeu ou o produto ESET não está instalado ou atualizado na máquina. 

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.