Durante as últimas semanas, falou-se do Conficker como a nova ameaça capaz de infectar computadores como nunca se havia visto. O Conficker, também conhecido por Downup, DownadUp e Kido, é da classe dos worms que afecta os sistemas operativos Windows. Até há alguns dias atrás era uma ameada concreta e um desafio, para quem quisesse ganhar um prémio oferecido pela Microsoft.
O vírus explora uma vulnerabilidade no serviço Windows Server já corrigida pelo boletim de segurança MS08-067 em Outubro de 2008. Ele executa um ataque visando quebrar as senhas dos usuários para poder impedir o acesso às contas no domínio do Active Directory. O Downadup/Conficker/Kido também pode infectar drives USB, aumentando assim sua capacidade de propagação em máquinas cliente.
O que causa:
- Cria Arquivo autorun.inf, nomerandomico.dll e nomerandomico.vmx em todos os drives e unidades removíveis e pendrives, e em algumas vezes em Pastas Compartilhadas em Rede.
- Bloqueia o acesso aos sites de Antivirus, impedindo que os softwares antivírus se atualizem.
- Impossibilita o Usuário de logar em sua conta de usuário, forçando-o a criar ou usar outra conta.
Diagrama de infecção do Conficker
(clique na imagem para ampliá-la)
Uma terceira versão do worm Downadup foi identificada pela Symantec, que informou que esta nova variante dá às máquinas infectadas novas instruções para desativação de softwares antivírus e ferramentas de análise, além de outras ações.
O W32.Downadup.C é um componente modular para máquinas já infectadas pelo Downadup. Esta variante do worm, que também é conhecido como Conficker, não está tentando se auto-replicar e parece se comportar mais como um trojan do que como um worm, disse Vincent Weafer, vice presidente do Symantec Security Response.
“Pense nele como um módulo atualizado que é mais agressivo e mais robusto para se defender”, disse ele. O W32 Downadup.C foi descoberto na sexta-feira pela Symantec e ainda está sob investigação.
A empresa espere identificar capacidades adicionais desta variante em breve, disse Weafer, que completou dizendo que a Symantec ainda não detectou o W32 Downadup.C diretamente nas redes de seus clientes.
Fonte: Baboo
Artigo Orig: http://www.baboo.com.br/absolutenm/templates/content.asp?articleid=34369&zoneid=221&resumo=symantec_alerta_parta_nova_variante_worm_downadup
Junto com o boletim de segurança crítico divulgado ontem para o Windows, a Microsoft também divulgou uma nova versão do Malicious Software Removal Tool (MSRT), uma ferramenta gratuita que detecta e elimina os tipos de malware mais comuns. Nesta versão foram acrescentadas dois novos tipos de malware, de especial importância para usuários brasileiros:
■ Win32/BanLoad, um trojan downloader que é usado para roubar credenciais de bancos e outras informações sensíveis.
■ Win32/Conficker (também conhecido como Win32/Downadup), incluindo a variante Win32/Conficker.B. O Conficker é um worm que se propaga explorando a vulnerabilidade MS08-067 e compartilhamentos de rede protegidos com senhas fracas.
O MSRT é executado automaticamente durante a atualização do Windows Update, e também é distribuído para os clientes corporativos que utilizam o Windows Server Update Services (WSUS). No entanto o Conficker desabilita o agente de Atualização Automática do Windows, bem como o mecanismo de atualização dos antivírus mais populares, e é provável que os sistemas infectados não recebam a ferramenta MSRT de forma automática.
Olhar Digital - Ãltimas NotÃcias
Comentarios Recentes