[KB2209] Conficker - Como posso me proteger?

Seu risco de exposição a ameaça Win32/Conficker é por causa de uma vulnerabilidade do sistema operacional da Microsoft (a Microsoft lançou um patch para essa vulnerabilidade em Outubro de 2008). Para ajudar a evitar a infecção causada pelas vulnerabilidades do sistema operacional da Microsoft, assegure-se de que seu computador (e todos os computadores em sua rede) esteja sempre atualizado com a versão mais recente das atualizações da Microsoft Windows. Você pode encontrar as atualizações mais recentes em http://update.microsoft.com/.

Para se proteger do Conficker, siga as instruções passo a passo no artigo. Ou clique no link apropriado abaixo para pular para uma seção específica: 

• Prevenindo Infecção 
   
• Passos de limpeza (Máquina única)
   
• Passos de limpeza (Rede)

Prevenindo a infecção

A - Faça o download dos patches de segurança da Microsoft

Se você não deseja fazer o download de todas as atualizações Windows, mas quer se assegurar que você está pelo menos protegido contra as ameaças Win32/Conficker, faça o download e instale os patches (KB958644, KB957097 e KB958687) dos seguintes Boletins de Segurança da Microsoft:

• Microsoft Security Bulletin MS08-067 – Crítico - Vulnerabilidade no serviço do servidor podem permitir a execução remota do código


• Microsoft Security Bulletin MS08-068 – Importante - Vulnerabilidade no SMB podem permitir a execução remota do código


• Microsoft Security Bulletin MS09-001 - Crítico - Vulnerabilidades no SMB podem permitir a execução remota do código

B - Desailitar Autorun e Autoplay (Windows XP e Windows Vista)

Você talvez queira desabilitar as funcionalidades Autorun e Autoplay no seu sistema Windows para prevenir que produtores de softwares maliciosos abusem dessas falhas de segurança. Os drives USB e outras mídias removíveis, que são acessados pelas funcionalidades Autorun/Autoplay a todo momento quando (por padrão) você os conecta a seu computador, são os condutores de vírus mais frequentemente usados atualmente.  Autorun e Autoplay da Microsoft Windows são funcionalidades que tiveram a intenção inicialmente de simplificar a rodagem do conteúdo de um CD automaticamente:

(i) executando o arquivo Autorun.inf (e quaisquer outras instruções maliciosas possíveis que ele contenha) - Vulnerabilidade Autorun

(ii) abrindo uma janela pop-up com as ações disponíveis (algumas das quais podem ser gatilhos hostís de Autorun.inf malicioso) - Vulnerabilidade Autoplay

1. Se você quiser desabilitar o Autorun e o Autoplay, clique com o botão direito neste link para fazer o download do arquivo DisableAutorun.reg e selecione Salvar link como...
    
2. Na janela Salvar como, assegure-se que:
   
   (i) o menu selecionável Salvar como tipo esteja configurado para Todos os arquivos ou Entradas de registro (*.reg) (ou similar, dependendo do seu navegador)
   
   (ii) o campo Nome do arquivo contenha o nome exato do arquivo de registro (isto é,. DisableAutorun.reg)
    
3. Clique em Salvar. Confirme em qualquer prompt para salvar o arquivo de registro. 
    
4. Clique duas vezes no arquivo salvo e confirme adicionando a entrada de registro clicando em Sim. Clique em OK para finalizar.

B2 - Como reabilitar o Autorun e o Autoplay (Windows XP e Windows Vista)

Se você precisar desfazer as mudanças que você fez, siga as instruções da seção B (acima) clique com o botão direito neste link para fazer o download do arquivo ReenableAutorun.reg e repita as instruções da seção B (acima), mas apenas desta vez use o arquivo ReenableAutorun.reg.

Passos de limpeza (máquina única)

Se você encontrou ou encontrar o malware Win32/Conficker, uma versão atualizada completa do produto ESET (versão 3.0 ou posterior) limpará a infecção.

1. Desconecte o computador infectado da rede e da Internet.
    
2. Use um PC não infectado para fazer o download dos patches respectivos de Windows da seção A acima. Instale todos os patches.
    
3. Resete suas senhas do sistema para as contas de administrador usando senhas mais sofisticadas. Note que a infiltração pode se espalhar através das pastas compartilhadas.
   
   (i.) Pressione CTRL+ALT+DELETE e então clique em Mudar senha...
   
   (ii.) Digite sua senha velha, digite sua nova senha, digite sua nova senha de novo para confirmá-la e então pressione ENTER.
    
4. Faça o download do aplicativo único da ESET (novamente, usando um PC não infectado) que removerá o worm. Se você não tem um produto ESET (3.0 ou posterior) instalado, você pode fazer o download (usando um PC não infectado) e rodar nosso limpador autônomo gratuito
5. http://download.eset.com/special/ESETConfickerCleaner.exe
    
6. Faça o download e instale a versão mais recente do seu software ESET.
    
7. Atualize seu banco de dados de assinatura de vírus.

• http://support.microsoft.com/kb/962007

Passo de limpeza (rede)

1. Se você não quer fazer o download de todas as atualizações do Windows, mas quer assegurar que você esteja pelo menos protegido contra as ameaças Win32/Conficker, faça o download e instale os patches (KB958644, KB957097 e KB958687) nos seguintes Boletins de Segurança da Microsoft em todas as suas máquinas de sua rede:
   

   Patches não são necessários para Windows 7 e Server 2008

   Os patches abaixo não são necessários para o Windows 7 ou Server 2008 r2, já que o exploit usado pelo Conficker não existe nesses sistemas operacionais. Contudo, o Microsoft Windows Server 2008 requer os patches abaixo.

   • Microsoft Security Bulletin MS08-067 – Crítico - Vulnerabilidade no serviço do servidor podem permitir a execução remota do código
   
   
   • Microsoft Security Bulletin MS08-068 – Importante - Vulnerabilidade no SMB podem permitir a execução remota do código
   
   
   • Microsoft Security Bulletin MS09-001 - Crítico - Vulnerabilidades no SMB podem permitir a execução remota do código
   
   
2. Instale e atualize uma solução de segurança da ESET em todas as máquinas:
   • Como fazer o download e a Instalação do ESET NOD32 Antivirus Business Edition em um servidor (4.x)
   
   
   • Como saber se o ESET Smart Security/ESET NOD32 Antivirus está atualizando corretamente?
   
   
3. Mude todas as senhas da rede, já que o Conficker usa quaisquer senhas que já tenham sido logadas ou obtidas por força bruta.
    
4. Rode a  Ferramenta de remoção do Conficker ESET em cada máquina:
   • ESET Conficker Removal Tool
5. Remova quaisquer tarefas agendadas que foram criadas pelo Win32/Conficker usando o seguinte comando nos clientes:
   
   at /delete /yes
    

Se os passos acima não resolverem a questão, resete todas as senhas e então faça os passos seguintes para identificar quais máquinas ainda estão tentando espalhar a infecção:

6. Acione a auditoria de Eventos de Logins falhos:
   1. Em seu(s) Controlador(es) de Domínio, clique em Iniciar → Ferramentas Administrativas → Políticas de Segurança para Controle de Domínio
   
   
   2. Navegar para Configurações de segurança → Políticas Locais → Auditar Políticas → Auditar Eventos de Login.
   3. Assegure-se de que Auditar Eventos de Login esteja configurado para gravar todos os eventos de Sucesso e Falha.
7. Monitore o relatório de Evento de Segurança em seu(s) Controlador(es) de Domínio para Eventos com IDs 529 (se nenhum evento 529 estiver ocorrendo, então o Win32/Conficker está usando as senhas administrativas corretas - suas senhas entretanto terão que ser trocadas.
    
8. Quando estiver visualizando as propriedades do evento, você verá um "Nome de estação de trabalho". Este será o culpado, ou um dos culpados, que está tentando infectar outros computadores.
    
9. Vá para cliente(s) identificado(s) e repita os passos 1-5 acima.

Depois de completar os passos acima para Passos de limpeza (Rede), todas as senhas Administrativas devem ser mudadas novamente para assegurar  que o Conficker não terá nenhuma dessas senhas. Se o Conficker ainda estiver mostrando ameaças depois de todas as máquinas terem recebido um patch, então há ainda alguma que não recebeu ou o produto ESET não está instalado ou atualizado na máquina.