Ir para conteúdo

Foto

Conficker já contaminou mais de 9,5 milhões de PCs


  • Por favor, faça o login para responder
44 respostas neste tópico

#1
Einstein

Einstein

    ARIS-LD/Analista Senior

  • ARIS-LD
  • 10.267 posts
  • Sexo:Masculino
  • Local:SP, Brasil
Praga virtual já contaminou mais de 9,5 milhões de computadores

Um worm conhecido como Conficker, Downandup ou Kido já contaminou mais de 9,5 milhões de computadores no mundo e continua se espalhando com uma velocidade assustadora. A praga se aproveita de falhas no Windows para se espalhar via redes e pen drives e estima-se que esteja contaminando 1 milhão de novos computadores por dia, segundo informou Mikko Hypponen, chefe de pesquisa da F-Secure, empresa especializada em segurança.

O verme foi descoberto em outubro de 2008, quando foi lançada uma correção para o Windows que impedia o Kido de se espalhar. Uma nova variante do vírus, porém, conseguiu se espalhar com rapidez. A praga se instala no computador e abre uma conexão com os computadores dos hackers, que podem controlar a máquina contaminada a distância.

Notícia completa:
http://g1.globo.com/...59-6174,00.html

PROTEJA-SE!
Instale a atualização contra esse vírus:
http://www.microsoft...n/MS08-067.mspx

#2
crossfire

crossfire

    Membro Avançado

  • Membro
  • PipPipPip
  • 332 posts
Einstein,

http://www.linhadefe...showtopic=88116

Neste tópico existem ferramentas disponiveis para download da Fsecure e Bit Defender.
Essas ferramentas eliminam essa praga completamente?

[]s
Respeite quem o ajuda, não abandone o seu tópico.

#3
Einstein

Einstein

    ARIS-LD/Analista Senior

  • ARIS-LD
  • 10.267 posts
  • Sexo:Masculino
  • Local:SP, Brasil
Não cheguei a testá-las totalmente.

A MSRT, ferramenta de remoção de malware da Microsoft, distribuida através do Windows Update (mesmo para computadores com Windows pirata), remove a infecção com sucesso.

Porém convém lembrar: se não instalar a atualização, o PC será reinfectado.

#4
FallenHawk

FallenHawk

    Fundador

  • Administrador
  • 10.785 posts
  • Sexo:Masculino
  • Local:Maringá - PR
E muita gente (inclusive o sr. Hypponen) achou que a era dos grandes worms tinha acabado...

Vale dizer também: esse número é basicamente um achismo educado. Não é possível ter certeza do número.

Editado por FallenHawk, 21 janeiro 2009 - 17:52.

Altieres Rohr // Ira Racional // Twitter
Garagem 42 - tecnologia e cultura
st-cs.jpg
aris.png You shall be as gods


#5
guibla

guibla

    ARIS-LD/Comunicação

  • ARIS-LD
  • 152 posts
  • Local:Goiânia - GO
Vírus Conficker já infecta mais de 15 milhões de PCs

O malware Conficker, também conhecido como Kido ou W32.Downadup, é uma das pragas digitais com maior capacidade de proliferação dos últimos anos, declarou a Symantec em nota oficial. Segundo a F-Secure, a praga já se disseminou para mais de 15 milhões de máquinas pelo mundo - e a estimativa ainda é considerada conservadora.

Especialistas da Symantec apontam que o código tem atacado em maior grau máquinas com os sistemas Windows XP SP2 e Windows 2003 SP1 que ainda não foram atualizadas, trazendo problema principalmente para pequenas e médias empresas, bem como organizações que ainda não corrigiram seus sistemas.

Há relatos de que mesmo o Windows Vista esteja vulnerável, contrariando o que se acreditava até semana passada. Ainda assim vale lembrar que o Conficker não ataca alvos específicos, já tendo se disseminado para mais de 15 milhões de máquinas do mundo inteiro, segundo estatísticas tidas como conservadoras pela F-Secure, conforme noticiou o site Telegraph.

Todavia, de acordo com diversos analistas, esse número é extremamente conservador e a capacidade de proliferação da praga é tão alta que pode atingir mais de 300 milhões de máquinas até o fim de janeiro.

Só no Reino Unido, em que no começo da epidemia o problema se alastrou inclusive para uma rede de cinco hospitais, é estimado que mais de 3 mil organizações tenham sofrido algum tipo de infecção pelo Conficker.

Entre os problemas causados pelo verme digital, que até então tem risco classificado como baixo pela McAfee, está o impedimento de acesso à rede.

O Ministério da Defesa do Reino Unido divulgou nota informando que alguns de seus maiores servidores e muitas estações de trabalho estão infectados. O verme digital se espalhou por escritórios administrativos e até mesmo em sistemas a bordo de submarinos e navios da Real Armada.

Botnet gigantesca
Todavia, pelo fato do malware acessar servidores e baixar arquivos ¿ e, além disso, atualizar a si mesmo automaticamente várias vezes por dia ¿ , é possível que os cibercriminosos responsáveis por sua disseminação tenham planos maiores, como criar uma gigantesca botnet com grande poder de destruição.

As botnets são redes de computadores infectados por vírus especiais capazes de torná-los "zumbis", ou seja, controláveis à distância por pessoas ou organizações criminosas ¿ todos ao mesmo tempo e de forma coordenada. Isso pode ser usado para enviar spam com abrangência global e até mesmo para atacar a infra-estrutura de internet de países inteiros. Segundo o The Register, é uma questão de tempo até que os "zumbis" começem a ser ativados.

Para se ter uma idéia, o Storm, um dos botnets mais letais em atividade e que é suspeito de ter retirado do ar diversos países por alguns dias, possui "apenas" 80 mil máquinas ¿ entre PCs domésticos e computadores de empresas ¿ sob seu comando. Mesmo o número conservador da F-Secure, de 15 milhões de máquinas, já dá a dimensão do quanto o Conficker é perigoso.

Atividade crescente
Noticiado pela primeira vez em outubro, o vírus se aproveita de uma brecha no sistema operacional da Microsoft e só ganhou as notícias internacionais quando começou a se alastrar por máquinas pessoais e corporativas.

O Conficker usa domínios aleatórios para baixar mais malware. Segundo a empresa SecureWorks, no fim de cada dia cerca de 250 nomes de domínios novos são gerados. O vírus também bloqueia o acesso a diversas palavras-chave, o que impossibilita visitar diversos sites na internet, entre eles o da Microsoft.

A Symantec alertou que a maior parte das infecções está na América Latina. O Brasil estaria em quarto lugar no ranking mundial, com 6,2% do total de infecções, atrás apenas da China (28,7%), Argentina (11,3%) e Taiwan (6,7%).

Já a Panda Security, que fabrica o antivirus de mesmo nome, divulgou que as infecções pelo Conficker colocam Espanha, Estados Unidos, Taiwan e Brasil como os mais atingidos. Uma em cada 14 máquinas (ou seja, 6%) que fizeram o teste online de segurança da empresa ¿ algo em torno de dois milhões de máquinas ¿ estão contaminados pelo verme.

Os números, entretanto, são conflitantes com os dados registrados pela F-Secure, em que o Brasil aparece em terceiro lugar, atrás apenas da China e da Rússia, sendo que, juntos, os três países somam 41% de todas as infecções.

Fonte: Magnet
http://tecnologia.te...-EI4805,00.html
"Atrás de uma boa ação existe uma "má" intenção"
Twitter Linha Defensiva - ARIS-LD
Imagem Postada
Imagem Postada

#6
LUA

LUA

    Administradora

  • Administrador
  • 4.356 posts
  • Sexo:Feminino
  • Local:Rio de Janeiro - RJ
Tutorial para remoção:

Conficker Kido Downadup, instruções de remoção

http://www.linhadefe...showtopic=89257
Luciana Leme

Imagem Postada
__________________________________________________
Respeite quem o ajuda, não abandone o seu tópico.
Leia as Regras do Fórum - Veja como se tornar um Aprendiz
Linha Defensiva no Twitter! - Linha Defensiva no Facebook!

#7
FabioBz

FabioBz

    Membro Avançado

  • Membro
  • PipPipPip
  • 676 posts
  • Sexo:Masculino
  • Local:PoA-RS
Supondo que o antí-vírus falhe na deteção desse worm, o firewall (no meu caso o Outpost) identifica quando ele tenta se infiltrar no pc e fazer alterações no SO ???

PROTEJA-SE!
Instale a atualização contra esse vírus:
http://www.microsoft...n/MS08-067.mspx

No meu caso deu falha:

KB958664 Setup Error
Setup cannot update your Windows XP files because the language
instaled on your system is different from the update language.


Tem link para XP Proffesional SP3 em Português?

Editado por FabioBz, 27 janeiro 2009 - 14:17.

...eu estive em todos os lugares e só me encontrei em mim mesmo.
(John Lennon)

#8
Einstein

Einstein

    ARIS-LD/Analista Senior

  • ARIS-LD
  • 10.267 posts
  • Sexo:Masculino
  • Local:SP, Brasil

Supondo que o antí-vírus falhe na deteção desse worm

Por se tratar de um worm, ele já possui alta taxa de detecção dos antivirus:
http://www.virustota...48f2fffb2b48b0e

o firewall (no meu caso o Outpost) identifica quando ele tenta se infiltrar no pc e fazer alterações no SO ???

Sim, se o worm tentar acessar seu PC numa rede local. Pela internet provavelmente não.

Tem link para XP Proffesional SP3 em Português?

http://www.microsoft...76-2067b73d6a03

:legal:

#9
FallenHawk

FallenHawk

    Fundador

  • Administrador
  • 10.785 posts
  • Sexo:Masculino
  • Local:Maringá - PR

Sim, se o worm tentar acessar seu PC numa rede local. Pela internet provavelmente não.

Por que não?

Por se tratar de um worm, ele já possui alta taxa de detecção dos antivirus:

Engraçado que a F-Secure, que tá fazendo todo esse alarde, falhou na detecção.

Altieres Rohr // Ira Racional // Twitter
Garagem 42 - tecnologia e cultura
st-cs.jpg
aris.png You shall be as gods


#10
Einstein

Einstein

    ARIS-LD/Analista Senior

  • ARIS-LD
  • 10.267 posts
  • Sexo:Masculino
  • Local:SP, Brasil

Por que não?

Vi um PC infectado onde a máquina é única, só tem acesso a internet. Segundo o usuário, é provável que a infecção tenha vindo junto com alguns cracks que baixou. Firewall: ZoneAlarm.
Mas não creio que isso seja regra, pois fica claro que a culpa pela infecção é do próprio usuário.

Engraçado que a F-Secure, que tá fazendo todo esse alarde, falhou na detecção.

Aqui também não:
http://www.virustota...afc4b10d00dbf17

Edit:
reportei o caso a F-Secure:
http://www.f-secure....PostID=00001589

Segundo eles o problema é no VT

:huh:

Editado por Einstein, 27 janeiro 2009 - 18:01.


#11
FehH

FehH

    Membro Avançado

  • Membro
  • PipPipPip
  • 762 posts
Olá Einstein,

Existe alguma forma de saber se o micro está contamindo?
Alguma linha no Hijackthis?

E se não existe atualização para Windows XP Service Pack 3?

Já que na página da Microsoft está como None

Muito Obrigado.

Abra´zZ :legal:
Fellipe Mendes [ FehH ]

#12
FallenHawk

FallenHawk

    Fundador

  • Administrador
  • 10.785 posts
  • Sexo:Masculino
  • Local:Maringá - PR

E se não existe atualização para Windows XP Service Pack 3?

Já que na página da Microsoft está como None

"None" (nenhum) são os boletins substituídos pelo patch. O SP3 ainda não teve nenhum patch que alterou os mesmos arquivos que este, portanto o boletim não substitui nenhum outro.

Veja o boletim em português:
http://www.microsoft...n/ms08-067.mspx

Altieres Rohr // Ira Racional // Twitter
Garagem 42 - tecnologia e cultura
st-cs.jpg
aris.png You shall be as gods


#13
Einstein

Einstein

    ARIS-LD/Analista Senior

  • ARIS-LD
  • 10.267 posts
  • Sexo:Masculino
  • Local:SP, Brasil

Existe alguma forma de saber se o micro está contaminado? Alguma linha no Hijackthis?

Sim. Um sintoma comum: seu antivirus não consegue ser atualizado. Outro problema: você não consegue acessar nenhum site da Microsoft. Nos casos que vi, nenhum sinal no log do HijackThis.
Fizemos um tutorial onde descrevemos os sintomas do worm:
http://www.linhadefe...forum/index....

não existe atualização para Windows XP Service Pack 3?

Como o Altieres explicou, existe sim.
Eis o link para download:
http://www.microsoft...76-2067b73d6a03

#14
LUA

LUA

    Administradora

  • Administrador
  • 4.356 posts
  • Sexo:Feminino
  • Local:Rio de Janeiro - RJ
Interessante que essa atualização de segurança foi lançada no dia 22 de outubro de 2008. No meu computador foi instalada no dia 24 de outubro...

Podemos concluir que o alto índice de infecção se deve a não instalação das atualizações de segurança, está correto?
Luciana Leme

Imagem Postada
__________________________________________________
Respeite quem o ajuda, não abandone o seu tópico.
Leia as Regras do Fórum - Veja como se tornar um Aprendiz
Linha Defensiva no Twitter! - Linha Defensiva no Facebook!

#15
Einstein

Einstein

    ARIS-LD/Analista Senior

  • ARIS-LD
  • 10.267 posts
  • Sexo:Masculino
  • Local:SP, Brasil

Podemos concluir que o alto índice de infecção se deve a não instalação das atualizações de segurança, está correto?

Sem dúvida. Sua disseminação é culpa dos usuários e dos administradores de rede que não instalam as atualizações de segurança.
Cansei de ver "técnicos" que desativam essas atualizações. Isso é como dar um tiro no pé do usuário. A alegação é que assim aquele aviso de "software pirata" não aparece, sendo que essa notificação pode ser desativada facilmente. Eles preferem remover uma proteção essencial ao Windows em nome do "conforto" do usuário...

Lembrando que as atualizações críticas (como a desse worm) são liberadas para qualquer versão do Windows, sendo pirata ou legítimo, basta ter as atualizações ativadas.

#16
FehH

FehH

    Membro Avançado

  • Membro
  • PipPipPip
  • 762 posts
Entendi FallenHawk, Obrigado.

Obrigado Einstein, Irei Baixar e instalar a atualização.

Abra´zZ :legal:
Fellipe Mendes [ FehH ]

#17
Stubborn

Stubborn

    Membro

  • Membro
  • PipPip
  • 69 posts

Edit:
reportei o caso a F-Secure:
http://www.f-secure....PostID=00001589

Segundo eles o problema é no VT

:huh:


Pelo que andei lendo por aí, o VT utiliza apenas a engine do AV.

Por exemplo, no caso de um pacote, como o A-Squared Anti-Malware, você conta com a engine do AV, um behavior blocker, além de um anti-malware.

Acredito que sintomaticamente, o Online Armor Paid Version com HIPS ativos, ou qualquer outra opção semelhante, possa detectar o conficker se a interação do software com o usuário for bem sucedida (digo, se o usuário bloquear corretamente às solicitações).

O pacote F-Secure deve identificar e bloquear o malware com sucesso, pela "postura" deles.

Só meus dois centavos.

;)

Editado por Stubborn, 30 janeiro 2009 - 10:44.


#18
Einstein

Einstein

    ARIS-LD/Analista Senior

  • ARIS-LD
  • 10.267 posts
  • Sexo:Masculino
  • Local:SP, Brasil

O pacote F-Secure deve identificar e bloquear o malware com sucesso, pela postura deles.

Sim claro. Segundo o pessoal da F-Secure, era um problema no scan do VirusTotal. O Júlio Canto, responsável pelo VirusTotal me disse que o problema ja tinha sido detectado e já foi resolvido.

:legal:

#19
FallenHawk

FallenHawk

    Fundador

  • Administrador
  • 10.785 posts
  • Sexo:Masculino
  • Local:Maringá - PR

Cansei de ver "técnicos" que desativam essas atualizações. Isso é como dar um tiro no pé do usuário. A alegação é que assim aquele aviso de "software pirata" não aparece, sendo que essa notificação pode ser desativada facilmente.

Sem contar que, antes disso, desativavam as atualizações porque diziam que "deixava o PC lento" e outras asneiras.

Às vezes malícia é indistinguível de incompetência.

Altieres Rohr // Ira Racional // Twitter
Garagem 42 - tecnologia e cultura
st-cs.jpg
aris.png You shall be as gods


#20
FabioBz

FabioBz

    Membro Avançado

  • Membro
  • PipPipPip
  • 676 posts
  • Sexo:Masculino
  • Local:PoA-RS
Einstein, sei que você contribui para o desenvolvimento do Malwarebytes daí te pergunto: o MBAM está preprado para remover esse worm?

Aproveitando, vejo que o MBAM está removendo plugins falsos, então pergunto: estão disponibilizando as amostras de plugins falsos (brasileiros) para adicionar ao banco de dados? Ou seja, ele já tem uma eficácia contra esses plugins como o BanquerFix?
...eu estive em todos os lugares e só me encontrei em mim mesmo.
(John Lennon)




0 usuário(s) está(ão) lendo este tópico

0 membros, 0 visitantes, 0 membros anônimos