Einstein

Conficker já contaminou mais de 9,5 milhões de PCs

45 posts neste tópico

Praga virtual já contaminou mais de 9,5 milhões de computadores

Um worm conhecido como Conficker, Downandup ou Kido já contaminou mais de 9,5 milhões de computadores no mundo e continua se espalhando com uma velocidade assustadora. A praga se aproveita de falhas no Windows para se espalhar via redes e pen drives e estima-se que esteja contaminando 1 milhão de novos computadores por dia, segundo informou Mikko Hypponen, chefe de pesquisa da F-Secure, empresa especializada em segurança.

O verme foi descoberto em outubro de 2008, quando foi lançada uma correção para o Windows que impedia o Kido de se espalhar. Uma nova variante do vírus, porém, conseguiu se espalhar com rapidez. A praga se instala no computador e abre uma conexão com os computadores dos hackers, que podem controlar a máquina contaminada a distância.

Notícia completa:

http://g1.globo.com/Noticias/Tecnologia/0,...59-6174,00.html

PROTEJA-SE!

Instale a atualização contra esse vírus:

http://www.microsoft.com/technet/security/...n/MS08-067.mspx

Compartilhar este post


Link para o post
Compartilhar em outros sites

Não cheguei a testá-las totalmente.

A MSRT, ferramenta de remoção de malware da Microsoft, distribuida através do Windows Update (mesmo para computadores com Windows pirata), remove a infecção com sucesso.

Porém convém lembrar: se não instalar a atualização, o PC será reinfectado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

E muita gente (inclusive o sr. Hypponen) achou que a era dos grandes worms tinha acabado...

Vale dizer também: esse número é basicamente um achismo educado. Não é possível ter certeza do número.

Editado por FallenHawk

Compartilhar este post


Link para o post
Compartilhar em outros sites

Vírus Conficker já infecta mais de 15 milhões de PCs

O malware Conficker, também conhecido como Kido ou W32.Downadup, é uma das pragas digitais com maior capacidade de proliferação dos últimos anos, declarou a Symantec em nota oficial. Segundo a F-Secure, a praga já se disseminou para mais de 15 milhões de máquinas pelo mundo - e a estimativa ainda é considerada conservadora.

Especialistas da Symantec apontam que o código tem atacado em maior grau máquinas com os sistemas Windows XP SP2 e Windows 2003 SP1 que ainda não foram atualizadas, trazendo problema principalmente para pequenas e médias empresas, bem como organizações que ainda não corrigiram seus sistemas.

Há relatos de que mesmo o Windows Vista esteja vulnerável, contrariando o que se acreditava até semana passada. Ainda assim vale lembrar que o Conficker não ataca alvos específicos, já tendo se disseminado para mais de 15 milhões de máquinas do mundo inteiro, segundo estatísticas tidas como conservadoras pela F-Secure, conforme noticiou o site Telegraph.

Todavia, de acordo com diversos analistas, esse número é extremamente conservador e a capacidade de proliferação da praga é tão alta que pode atingir mais de 300 milhões de máquinas até o fim de janeiro.

Só no Reino Unido, em que no começo da epidemia o problema se alastrou inclusive para uma rede de cinco hospitais, é estimado que mais de 3 mil organizações tenham sofrido algum tipo de infecção pelo Conficker.

Entre os problemas causados pelo verme digital, que até então tem risco classificado como baixo pela McAfee, está o impedimento de acesso à rede.

O Ministério da Defesa do Reino Unido divulgou nota informando que alguns de seus maiores servidores e muitas estações de trabalho estão infectados. O verme digital se espalhou por escritórios administrativos e até mesmo em sistemas a bordo de submarinos e navios da Real Armada.

Botnet gigantesca

Todavia, pelo fato do malware acessar servidores e baixar arquivos ¿ e, além disso, atualizar a si mesmo automaticamente várias vezes por dia ¿ , é possível que os cibercriminosos responsáveis por sua disseminação tenham planos maiores, como criar uma gigantesca botnet com grande poder de destruição.

As botnets são redes de computadores infectados por vírus especiais capazes de torná-los "zumbis", ou seja, controláveis à distância por pessoas ou organizações criminosas ¿ todos ao mesmo tempo e de forma coordenada. Isso pode ser usado para enviar spam com abrangência global e até mesmo para atacar a infra-estrutura de internet de países inteiros. Segundo o The Register, é uma questão de tempo até que os "zumbis" começem a ser ativados.

Para se ter uma idéia, o Storm, um dos botnets mais letais em atividade e que é suspeito de ter retirado do ar diversos países por alguns dias, possui "apenas" 80 mil máquinas ¿ entre PCs domésticos e computadores de empresas ¿ sob seu comando. Mesmo o número conservador da F-Secure, de 15 milhões de máquinas, já dá a dimensão do quanto o Conficker é perigoso.

Atividade crescente

Noticiado pela primeira vez em outubro, o vírus se aproveita de uma brecha no sistema operacional da Microsoft e só ganhou as notícias internacionais quando começou a se alastrar por máquinas pessoais e corporativas.

O Conficker usa domínios aleatórios para baixar mais malware. Segundo a empresa SecureWorks, no fim de cada dia cerca de 250 nomes de domínios novos são gerados. O vírus também bloqueia o acesso a diversas palavras-chave, o que impossibilita visitar diversos sites na internet, entre eles o da Microsoft.

A Symantec alertou que a maior parte das infecções está na América Latina. O Brasil estaria em quarto lugar no ranking mundial, com 6,2% do total de infecções, atrás apenas da China (28,7%), Argentina (11,3%) e Taiwan (6,7%).

Já a Panda Security, que fabrica o antivirus de mesmo nome, divulgou que as infecções pelo Conficker colocam Espanha, Estados Unidos, Taiwan e Brasil como os mais atingidos. Uma em cada 14 máquinas (ou seja, 6%) que fizeram o teste online de segurança da empresa ¿ algo em torno de dois milhões de máquinas ¿ estão contaminados pelo verme.

Os números, entretanto, são conflitantes com os dados registrados pela F-Secure, em que o Brasil aparece em terceiro lugar, atrás apenas da China e da Rússia, sendo que, juntos, os três países somam 41% de todas as infecções.

Fonte: Magnet

http://tecnologia.terra.com.br/interna/0,,...-EI4805,00.html

Compartilhar este post


Link para o post
Compartilhar em outros sites

Supondo que o antí-vírus falhe na deteção desse worm, o firewall (no meu caso o Outpost) identifica quando ele tenta se infiltrar no pc e fazer alterações no SO ???

PROTEJA-SE!

Instale a atualização contra esse vírus:

http://www.microsoft.com/technet/security/...n/MS08-067.mspx

No meu caso deu falha:

KB958664 Setup Error

Setup cannot update your Windows XP files because the language

instaled on your system is different from the update language.

Tem link para XP Proffesional SP3 em Português?

Editado por FabioBz

Compartilhar este post


Link para o post
Compartilhar em outros sites
Supondo que o antí-vírus falhe na deteção desse worm

Por se tratar de um worm, ele já possui alta taxa de detecção dos antivirus:

http://www.virustotal.com/pt/analisis/1cf7...48f2fffb2b48b0e

o firewall (no meu caso o Outpost) identifica quando ele tenta se infiltrar no pc e fazer alterações no SO ???

Sim, se o worm tentar acessar seu PC numa rede local. Pela internet provavelmente não.

Tem link para XP Proffesional SP3 em Português?

http://www.microsoft.com/downloads/details...76-2067b73d6a03

:legal:

Compartilhar este post


Link para o post
Compartilhar em outros sites
Sim, se o worm tentar acessar seu PC numa rede local. Pela internet provavelmente não.

Por que não?

Por se tratar de um worm, ele já possui alta taxa de detecção dos antivirus:

Engraçado que a F-Secure, que tá fazendo todo esse alarde, falhou na detecção.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Por que não?

Vi um PC infectado onde a máquina é única, só tem acesso a internet. Segundo o usuário, é provável que a infecção tenha vindo junto com alguns cracks que baixou. Firewall: ZoneAlarm.

Mas não creio que isso seja regra, pois fica claro que a culpa pela infecção é do próprio usuário.

Engraçado que a F-Secure, que tá fazendo todo esse alarde, falhou na detecção.

Aqui também não:

http://www.virustotal.com/analisis/96f1c92...afc4b10d00dbf17

Edit:

reportei o caso a F-Secure:

http://www.f-secure.com/weblog/archives/co...PostID=00001589

Segundo eles o problema é no VT

:huh:

Editado por Einstein

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Einstein,

Existe alguma forma de saber se o micro está contamindo?

Alguma linha no Hijackthis?

E se não existe atualização para Windows XP Service Pack 3?

Já que na página da Microsoft está como None

Muito Obrigado.

Abra´zZ :legal:

Compartilhar este post


Link para o post
Compartilhar em outros sites
E se não existe atualização para Windows XP Service Pack 3?

Já que na página da Microsoft está como None

"None" (nenhum) são os boletins substituídos pelo patch. O SP3 ainda não teve nenhum patch que alterou os mesmos arquivos que este, portanto o boletim não substitui nenhum outro.

Veja o boletim em português:

http://www.microsoft.com/brasil/technet/se...n/ms08-067.mspx

Compartilhar este post


Link para o post
Compartilhar em outros sites
Existe alguma forma de saber se o micro está contaminado? Alguma linha no Hijackthis?

Sim. Um sintoma comum: seu antivirus não consegue ser atualizado. Outro problema: você não consegue acessar nenhum site da Microsoft. Nos casos que vi, nenhum sinal no log do HijackThis.

Fizemos um tutorial onde descrevemos os sintomas do worm:

http://www.linhadefensiva.org/forum/index....

não existe atualização para Windows XP Service Pack 3?

Como o Altieres explicou, existe sim.

Eis o link para download:

http://www.microsoft.com/downloads/details...76-2067b73d6a03

Compartilhar este post


Link para o post
Compartilhar em outros sites

Interessante que essa atualização de segurança foi lançada no dia 22 de outubro de 2008. No meu computador foi instalada no dia 24 de outubro...

Podemos concluir que o alto índice de infecção se deve a não instalação das atualizações de segurança, está correto?

Compartilhar este post


Link para o post
Compartilhar em outros sites
Podemos concluir que o alto índice de infecção se deve a não instalação das atualizações de segurança, está correto?

Sem dúvida. Sua disseminação é culpa dos usuários e dos administradores de rede que não instalam as atualizações de segurança.

Cansei de ver "técnicos" que desativam essas atualizações. Isso é como dar um tiro no pé do usuário. A alegação é que assim aquele aviso de "software pirata" não aparece, sendo que essa notificação pode ser desativada facilmente. Eles preferem remover uma proteção essencial ao Windows em nome do "conforto" do usuário...

Lembrando que as atualizações críticas (como a desse worm) são liberadas para qualquer versão do Windows, sendo pirata ou legítimo, basta ter as atualizações ativadas.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Entendi FallenHawk, Obrigado.

Obrigado Einstein, Irei Baixar e instalar a atualização.

Abra´zZ :legal:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Edit:

reportei o caso a F-Secure:

http://www.f-secure.com/weblog/archives/co...PostID=00001589

Segundo eles o problema é no VT

:huh:

Pelo que andei lendo por aí, o VT utiliza apenas a engine do AV.

Por exemplo, no caso de um pacote, como o A-Squared Anti-Malware, você conta com a engine do AV, um behavior blocker, além de um anti-malware.

Acredito que sintomaticamente, o Online Armor Paid Version com HIPS ativos, ou qualquer outra opção semelhante, possa detectar o conficker se a interação do software com o usuário for bem sucedida (digo, se o usuário bloquear corretamente às solicitações).

O pacote F-Secure deve identificar e bloquear o malware com sucesso, pela "postura" deles.

Só meus dois centavos.

;)

Editado por Stubborn

Compartilhar este post


Link para o post
Compartilhar em outros sites
O pacote F-Secure deve identificar e bloquear o malware com sucesso, pela postura deles.

Sim claro. Segundo o pessoal da F-Secure, era um problema no scan do VirusTotal. O Júlio Canto, responsável pelo VirusTotal me disse que o problema ja tinha sido detectado e já foi resolvido.

:legal:

Compartilhar este post


Link para o post
Compartilhar em outros sites
Cansei de ver "técnicos" que desativam essas atualizações. Isso é como dar um tiro no pé do usuário. A alegação é que assim aquele aviso de "software pirata" não aparece, sendo que essa notificação pode ser desativada facilmente.

Sem contar que, antes disso, desativavam as atualizações porque diziam que "deixava o PC lento" e outras asneiras.

Às vezes malícia é indistinguível de incompetência.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Einstein, sei que você contribui para o desenvolvimento do Malwarebytes daí te pergunto: o MBAM está preprado para remover esse worm?

Aproveitando, vejo que o MBAM está removendo plugins falsos, então pergunto: estão disponibilizando as amostras de plugins falsos (brasileiros) para adicionar ao banco de dados? Ou seja, ele já tem uma eficácia contra esses plugins como o BanquerFix?

Compartilhar este post


Link para o post
Compartilhar em outros sites
vejo que o MBAM está removendo plugins falsos, então pergunto: estão disponibilizando as amostras de plugins falsos (brasileiros) para adicionar ao banco de dados? Ou seja, ele já tem uma eficácia contra esses plugins como o BanquerFix?

O MBAM remove sim alguns bankers brasileiros, mas não na quantidade do Bankerfix. E os arquivos de plugins que ele está removendo são falsos positivos que irei reportar a equipe.

o MBAM está preprado para remover esse worm?

Preparado está, mas a equipe não o adicionou a ferramenta, e acredito que nem irá adicionar, justamente por um motivo: o MBAM não é um antivirus. Virus, na definição clássica, não são removidos pelo programa, como file infectors, virus de macro, etc.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Essa atualização veem junto das atualizações do windows, ou eu tenho q baixa-lá?

Sim.

Como eu sei se já tenho essa atualização?

Paine de Controle > Adicionar e Remover programas. Na lista que abrir, marque a opção de Ver as atualizações, e na lista procure a KB958644.

;)

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sayane,

Se quiser saber se tem está instalada vá em iniciar / configs / painel controle / adic. remover programas

Marque exibir atualizações no topo da janela e verifique nos programas instalados:

Atualização de segurança para o Windows XP (KB958644)

Prefira baixa-la diretamente nesse link para evitar problemas.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!


Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.


Entrar Agora

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.