Site Meter Informações sobre nova variante do Conficker (Conficker.D) - Negócio de Risco - Site Home - TechNet Blogs

Negócio de Risco

Blog do Time de Segurança da Microsoft Brasil

Informações sobre nova variante do Conficker (Conficker.D)

Informações sobre nova variante do Conficker (Conficker.D)

  • Comments 1
  • Likes

Algumas informações sobre uma nova variante do Conficker estão sendo veiculadas e discutidas recentemente, e estão causando preocupações e algumas confusões aos usuários e empresas em geral.

Existe a possibilidade de que esta nova variante desenvolva uma ação a partir de 1º de Abril, e algumas das preocupações e confusões justamente estão relacionadas a um ataque especifico nesta data.

Alguns pontos importantes:

·         A variante do Conficker.D possui algumas diferenças com relação as variantes anteriores (Conficker;  Conficker.B; Conficker.C), principalmente na forma de propagação,  ou seja, a principio não se propaga através de dispositivos removíveis, nem através de compartilhamentos de rede. Ficando como vetor de infecção a exploração da vulnerabilidade já corrigida no boletim MS08-067.

·         A princípio, esta variante não “constrói” automaticamente uma lista de URLs para, a partir daí, tentar conectar-se a estes links e baixar outros arquivos e malwares. Estando previsto que esta ação ocorrerá a partir de 1º de Abril, e que irá possuir uma lista com mais de 50.000 links de várias partes do mundo e que tentará consultar cerca de 500 links de cada vez, para baixar malwares (provenientes de alguns dos links) que podem permitir que a maquina possa ser controlada remotamente e/ou fazendo parte de um botnet, ou instalando algum rootkit, etc.

Nossas recomendações:

Nossas recomendações permanecem as mesmas, ou seja:

·         Instale o MS08-067 em todo o seu ambiente.

·         Utilize um antivírus com detecção do Conficker, o mesmo deverá atuar na detecção, na remoção e no bloqueio da replicação do worm para outras máquinas. Por exemplo, o Microsoft Forefront Client Security e o Windows Live OneCare podem detectar, remover e bloquear .

·         Utiliza senhas fortes tanto para usuários quanto para contas de serviços, e também para qualquer compartilhamento existente.

·         Pode-se também desabilitar a função de Autorun/Autoplay para evitar que dispositivos removíveis contaminados, quando conectados em uma maquina, possam infectar a mesma.

Alguns Links Importantes:

http://technet.microsoft.com/en-us/library/cc512589.aspx 

http://technet.microsoft.com/en-us/library/cc736605.aspx

Algumas perguntas relacionadas a plataformas não mais suportadas também tem chegado, ou seja, alguns ambientes que ainda possuem NT4, Windows 9x, etc.

Nestes casos não existe um fix para ser aplicado, pois não são mais plataformas suportadas. Então, o que pode ser feito?

-Da mesma forma que não existe o fix, não há como confirmar se a vulnerabilidade existe ou não. Mas é importante considerar que ela exista e que a atualização da versão é fundamental para diminuir os riscos que um, ou alguns, equipamentos podem causar no ambiente como um todo.

-Tente proativamente seguir algumas das recomendações acima para mitigação do risco (Senhas, Shares, Antivirus,etc) enquanto desenvolve o processo de migração.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment