Cadê o Conficker? - Atualizado

03/04/2009 Written by Marcelo Almeida (Vympel)

conficker Ontem no dia 1° de Abril, se esperava um ataque em massa do Conficker.
Como todos notaram nada aconteceu.
Ontem eu coloquei uma mensagem no site do Zone-H em comemoração ao 1° de Abril, como é de costume fazer em vários sites no mundo, mas o pânico era tão grande que as pessoas ficaram esperando o ataque, alguns até mesmo acharam que tínhamos sido atacados.
Nem mesmo o Google colocou suas piadas de 1° de Abril, claro que com poucas exceções como as feitas pelo pessoal do Google Austrália e a do YouTube.
Isto era um pânico generalizado, a crise global ou esqueceram da data?
Apesar dos relatos de milhões de computadores infectados, até agora não vi uma cópia sequer do vírus rodando. Sempre quando surge um novo vírus que se espalha em proporções globais, se pode achar uma cópia dele “em um computador próximo de você”, mas até agora não vi absolutamente nada…

Não estou dizendo que o Conficker não exista. Mas o pânico que ele está causando é muito maior do que os supostos estragos.
Talvez ele entre em ação hoje, amanhã, semana que vêm ou nunca entre em ação.
Já que descobriram uma falha no código do mesmo que faz com que ele possa ser identificado remotamente e removido.

Claro, que algumas empresas disseram que isto é “anti-ético”, mas quem criou o Nachi?
Para os que não lembram o vírus Blaster invadia máquinas rodando versões de Windows desatualizadas e logo após a infestação, começa a procurar novas vítimas.
A proliferação foi tão rápida que uma “alma caridosa” criou outro vírus conhecido como Nachi ou Welchia, o qual explorava a mesma falha de segurança para entrar no computador e depois tentava remover os worms Blaster e Lovisan, depois deste processo ele ainda instalava as atualizações de segurança que estavam faltando para corrigir os problemas e se “removia do computador”, caso acontecesse algum erro, para removê-lo bastava digitar DATE 01 – 01-04 no prompt de comando que o vírus era removido do sistema.
Agora com a descoberta da assinatura do Conficker, como é “anti-ético” nenhuma empresa vai criar um worm para realizar as ações que o Nachi realizou no passado. Mas quem sabe a “alma caridosa” volte a ajudar…

As recomendações são as mesmas de sempre, tenha um antivírus atualizado, mantenha o sistema operacional atualizado.
Os usuário que usam sistemas piratas podem ter problemas com atualizações, neste caso, seria melhor regularizar seu sistema comprando uma licença ou usar um sistema gratuito como o Linux.
A Microsoft disponibilizou a atualização para a falha neste boletim de segurança.

Selecione abaixo sua versão de sistema para instalar a atualização: Não esqueça de escolher o idioma do seu sistema antes do início do download. Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP1 para sistemas baseados no Itanium
Windows Server 2003 com SP2 para sistemas baseados no Itanium
Windows Vista e Windows Vista Service Pack 1
Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1
Windows Server 2008 para sistemas de 32 bits*
Windows Server 2008 para sistemas baseados em x64*
Windows Server 2008 para sistemas baseados no Itanium

Existe um teste muito simples para saber se seu computador está infectado ou não com o Conficker.
Repare o quadro abaixo:

O que estas seis imagens significam?
O Conficker foi desenvolvido para bloquear atualizações de softwares antivírus e a lista inclui mais de 100 desenvolvedores de antivírus e empresas de segurança.
Caso as imagens acima não possam ser exibidas ou os sites acessados, existe uma grande possibilidade de você estar infectado pelo Conficker.
Caso todas as imagens apareçam você não está com o computador infectado.

UPDATE:

Consegui uma cópia do conficker.

Uma olhada rápida nele mostrou alguns endereços interessantes.
Por exemplo:
http://geolite.maxmind.com/download/geoip
http://k.sb941.com/k.algo
http://117.23.205.227/uk/A01.algo

Removi as extensões antes que algum curioso fique infectado.
Gostaria de fazer apenas uma pergunta porquê o acesso a estes sites, onde o vírus se atualiza, continua?

Como diz o ditado: Um vírus bem escrito beneficia todo mundo…

Gostaria de agradecer ao pr0d1gy pela cópia do conficker!

Ah.
Já ia me esquecendo do brute-force, se sua senha consta nesta lista é melhor mudá-la antes que sua rede seja atingida!

!@#$%!@#$%^!@#$%^&
!@#$%^&*
00000
000000
00000000
12345
123456789
654321
abc123
admin
admin$
admin123
administrator
admins
america
anchor
april
arrow
artist
asdfgh
basic
change
compaq
country
dirty
drive
email
england
english
france
french
ghost
green
india
input
japan
julie
letmein
master
modem
monday
mouse
mutant
mypass123
network
password1
pentium
phone
phrase
printer
record
right
saturday
silver
simple
slave
switch
target
test123
thailand
user1
video
virus
xxxxx
xxxxxx
xxxxxxx
xxxxxxxx
xxxxxxxxx

Share this content: