Conficker
O Worm/Conficker é um tipo de Worm que tem como objetivo afetar computadores dotados do sistema operacional Microsoft Windows, e que foi primeiramente detectado em outubro de 2008.[1] Uma versão anterior do worm propagou-se pela internet através de uma vulnerabilidade de um sistema de rede do Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 Beta e do Windows Server 2008 R2 Beta, que tinha sido lançado anteriormente naquele mês.[2] Não é fácil combater o worm através de operadores de rede e da atuação de meios legais devido ao seu uso combinado de técnicas malware.[3][4]
Conficker | |
---|---|
Pseudônimos |
|
Família | Worm |
Classificação | Desconhecido |
Tipo | Vírus de computador |
Portal Tecnologias da informação |
Embora a origem do nome "conficker" não seja conhecida com certeza, especialistas de internet e outros especulam que seu nome seja um portmanteau alemão, fundindo o termo "configurar" com "ficken", uma palavra de baixo calão em alemão.[5] O analista da Microsoft, Joshua Phillips, descreve o worm como uma reorganização de partes do nome do domínio "traficconverter.biz".[6]
O worm bloqueia o acesso a websites destinados à venda, protegidos com sistemas de segurança[7] e, portanto, é possível a qualquer usuário de internet verificar se um computador está infectado ou não, simplesmente por meio do acesso a websites destinados a venda de produtos dotados de sistemas de segurança.[8]
Impactos
editarAcredita-se que o Conficker seja o worm de computador que mais se espalhou pela internet desde o SQL Slammer, em 2003.[9] A rápida disseminação inicial do worm tem sido atribuído ao grande número de computadores que utilizam o sistema operacional Microsoft Windows (estimado em 92,12% em todo o mundo)[10], que ainda necessitam aplicar as atualizações da Microsoft (patches) para a vulnerabilidade MS08-067.[11]
Em janeiro de 2009, o número estimado de computadores infectados variou entre 9[12][13] e 15 milhões.[14] O fornecedor de softwares antivírus, a Panda Security, disse que dos 2 milhões de computadores analisados pela ferramenta ActiveScan, apenas 115.000 (6%) estavam infectados pelo Conficker.[15]
A Intramar, a rede de computadores da Marinha da França, foi infectada pelo Conficker em 15 de janeiro de 2009. A rede entrou em quarentena subsequentemente, forçando a permanência de aeronaves em várias bases aéreas militares, já que seus planos de voo não puderam ser carregados.[16]
O Ministério da Defesa do Reino Unido disse que alguns de seus maiores sistemas e computadores foram infectados pelo worm, além de computadores NavyStar/N* em vários navios de guerra e submarinos da Marinha Real. Além disso, mais de 800 computadores dos hospitais da cidade de Sheffield, Inglaterra, foram infectados.[17][18]
Em 2 de fevereiro de 2009, a Bundeswehr relatou que cerca de 100 de seus computadores também tinham sido infectados.[19] Um memorando do diretor britânico do ICT parlamentar informou aos usuários da Câmara dos Comuns do Reino Unido, em 24 de março de 2009, que o ICT tinha sido infectado pelo worm. O memorando, que foi aberto ao público subsequentemente, pedia aos usuários para que evitassem conectar equipamentos desautorizados à rede.[20]
Funcionamento do worm
editarQuatro variantes do Conficker são conhecidas, e que foram designadas como Conficker "A", "B", "C" e "D". As variantes foram descobertas em 21 de novembro de 2008, 29 de dezembro de 2008, 20 de fevereiro de 2009 e 4 de março de 2009, respectivamente.[21] No entanto, há mais de 300 minivariantes, presumivelmente feitos por crackers entre o público em geral e que foram infectados pelo worm original.[22]
Nome da variante | Data da detecção | Vetores de infecção | Propagação da atualização | Técnicas de autodefesa |
---|---|---|---|---|
Conficker "A" | 21 de novembro de 2008 |
|
Nenhum | |
Conficker B | 29 de dezembro de 2008 |
| ||
Conficker C | 20 de fevereiro de 2009 |
|
| |
Conficker D | 4 de março de 2009 | Nenhum |
|
Infecção inicial
editarAs variantes A e B prevalecem-se sobre uma vulnerabilidade em servidores de computadores com o sistema operacional Windows, no qual um computador-fonte infectado realiza um pedido de chamada de procedimento remoto especialmente habilidoso para forçar um buffer overflow, e então executar um shellcode no computador-alvo.[28] No computador-fonte, o worm executa um servidor HTTP numa porta TCP e UDP entre 1024 e 10000; o shellcode alvo conecta-se novamente com este servidor de HTTP para carregar uma cópia do worm em formato DLL, que é executado como um programa via svchost.exe.[4]
A variante B pode executar remotamente copias de si mesmo através da faixa ADMIN$ em computadores visíveis no NetBIOS. Se a faixa é protegida por senha, o worm tentará um ataque dicionárico, gerando potencialmente uma grande quantidade de tráfego de rede e assim driblar as restrições da conta do usuário.[29]
A variante B põe uma cópia de si mesmo em qualquer mídia removível (como pen-drives), do qual o worm pode contaminar novos computadores através do mecanismo de execução automática do Windows.[25]
Após a infecção, o worm salva uma cópia de sua forma DLL num nome de arquivo aleatório no sistema de pastas do Windows, e então consegue instalar a si mesmo no momento da inicialização do computador com um nome também aleatório.[4]
Propagação por payloads
editarO worm tem vários mecanismos de enviar ou carregar payloads executáveis na rede. Estes payloads têm, de longe, sido usados pelas variantes A, B e C para substituírem a si próprios pela variante D, que não infecta novos computadores através da NetBIOS ou de mídias removíveis.
A variante A gera uma lista de 250 domínios a cada dia por meio de cinco domínios de topo. Os nomes de domínio são gerados de um gerador de números pseudo-aleatórios, juntamente com a data atual para garantir que cada cópia do vírus gere os mesmos nomes a cada dia. O worm tenta então uma conexão HTTP para cada nome de domínio, e espera que qualquer um desses domínios forneça um payload assinalado.[4]
A variante B aumenta o número de TLDs para oito, e tem um gerador habilidoso para produzir domínios disjuntos daqueles da variante A.[4]
Para conter a utilização dos nomes de domínio pseudo-aleatórios do worm, o ICANN e vários registros TLD começaram em fevereiro de 2009 uma barreira coordenada de transferências e de registros desses domínios.[30] No entanto, a variante D contorna estas tentativas de barreiras, produzindo 50.000 domínios em 110 TLDs, dos quais o worm escolhe aleatoriamente 500 para realizar suas tentativas de obter um payload assinalado. Os nomes de domínio gerados também foram encurtados, de 8-11 para 4-9 caracteres, o que dificulta a detecção desses nomes de domínios através da heurística. Este novo método de transmissão (que ficou desativado até 1 de abril)[21][31] provavelmente não irá propagar payloads para mais do que 1% dos computadores infectados por dia, mas se espera que isto possa funcionar como um mecanismo de alimentação para a rede P2P do worm.[24] No entanto, espera-se que os nomes mais curtos gerados colidam com 150 a 200 domínios já existentes por dia, causando potencialmente um DDoS em websites que servem estes domínios.[32]
A variante C cria um pipe nomeado, através do qual o worm pode transmitir URLs para payloads disponíveis para download para outros computadores numa rede local.[31]
As variantes B e C desempenham patches de memória nos DLLs relacionados com o NetBIOS para fechar o MS08-067 e auxiliar as tentativas de reinfecção através da mesma vulnerabilidade. A reinfecção por meio das versões mais recentes do Conficker são permitidas por meio da utilização eficaz da vulnerabilidade como um backdoor de propagação.[26]
A variante D cria uma rede P2P ad-hoc para transmitir e receber payloads de toda internet. Este aspecto do worm é grandemente ofuscado em código e ainda não bem entendido, mas tem-se observado o uso de escaneamentos UDP de grande escala para construir uma lista computadores conectados em p2P, e de TCPs infectados para as transferências subsequentes de payloads. Para dificultar as análises, os números de entrada de conexões são fragmentados do endereço IP de cada computador.[27][31]
Proteção do vírus contra sistemas de segurança
editarPara prevenir os payloads de serem carregados, os payloads da variante A são dotados de Hash SHA1, e da criptografia de chave pública RC4, com um patch de 512 bits usado como uma chave, e então com o patch sendo assinalado como uma chave RSA de 1024 bits. O payload não está compactado e é executado somente se o próprio payload coincidir com uma chave pública contida dentro do worm. As variantes B e C aumentam mais tarde o tamanho do RSA para 4096 bits.[31]
Antissegurança
editarA variante C do worm reinicia os pontos de restauração do sistema do Windows e desabilita vários serviços desse sistema operacional, tais como a atualização automática do Windows, a Central de Segurança do Windows, o Windows Defender e o relatório de erros do Windows.[33] Os processos de programas que têm uma lista predefinida de nomes de malwares de computador, de programas de diagnóstico ou ferramentas de fragmentação são procurados e terminados.[34] Um patch de memória também é adicionado ao resolvedor DNS DLL do sistema para bloquear as monitorações de websites de programas de antivírus e do serviço de atualização do Windows.[31]
Sintomas
editar- As definições de restrição ao acesso de uma conta na internet são reiniciadas.
- Certos serviços da Microsoft Windows, tais como as atualizações automáticas, o Background Intelligent Transfer Service (BITS), o Windows Defender e o relatório de erros do Windows são desativados.
- Controladores de domínios respondem lentamente a um pedido do usuário.
- Congestionamento de informações numa rede local.
- Websites de softwares antivírus e do serviço de atualização do Windows ficam inacessíveis.[35]
Detecção automática
editarEm 27 de março de 2009, Felix Leder e Tillmann Werner, do Honeynet Project, descobriram que computadores infectados pelo Conficker têm uma assinatura detectável quando escaneados remotamente.[36] Atualizações assinaladas de várias aplicações de escaneamento de rede estão agora disponíveis, incluindo o Nmap[37] e o Nessus.[38]
Resposta
editarEm 12 de fevereiro de 2009, o engenheiro Rodrigo Cesar Lopes, junto com a Microsoft anunciou a criação de uma rede de colaboração da indústria de tecnologia para combater os efeitos do Conficker. As organizações envolvidas nesta iniciativa colaborativa incluem a própria Microsoft, Afilias, ICANN, Neustar, Verisign, CNNIC, Public Internet Registry, Global Domains Internacional, Inc., M1D Global, AOL, Symantec, F-Secure, ISC, pesquisadores da Georgia Tech, a Shadowserver Foundation, Arbos Networks e a Support Intelligence.[3][39]
Microsoft
editarEm 13 de fevereiro de 2009, a Microsoft estava oferecendo 250.000 dólares americanos em recompensa para qualquer informação que levasse à condenação e à prisão de pessoas por trás da criação e/ou distribuição do Conficker.[40][41][42][43][44]
Registradores de domínios
editarA ICANN tem buscado formar uma barreira de transferências e dos registros de todos os registros TLD afetados pelo gerador de domínios do vírus. Aqueles que tomaram uma ação incluem:
- Em 24 de março de 2009, a CIRA, a Autoridade de Registro na Internet do Canadá, bloqueou todos os domínios ainda não existentes no domínio .ca que possam vir a ser gerados pelo vírus. O bloqueio é válido até março de 2010.[45]
- Em 30 de março de 2009, a SWITCH, o registrador ccTLD da Suíça, anunciou que "estava tomando uma ação para proteger os endereços da internet com os finais .ch e .li da ação do Conficker."[46]
- No dia seguinte, a NASK, o registrador ccTLD da Polônia, bloqueou mais de 7.000 endereços do domínio .pl que possam ser utilizados pelo vírus. O bloqueio durou até maio de 2009. A NASK também alertou que o tráfego do vírus pode infligir de modo não intencional um ataque DDoS para legitimar domínios que possam ocorrer na lista de domínios gerados pelo vírus.[47]
- Em 2 de abril de 2009, a Island Networks, o registrador ccTLD de Guernsey e Jersey, confirmou após investigações e contatos com a IANA, que nenhum nome de domínio .gg ou .je estava na potencial lista de nomes de domínio gerados pelo vírus.
- Desde 20 de março de 2009 o Comitê Gestor da Internet no Brasil (CGI.br), que é o registrador ccTLD do Brasil, tem bloqueado milhares de domínios que possam vir a ser gerados pelo vírus.
Remoção
editarEm 15 de outubro de 2008, a Microsoft liberou um patch de emergência para corrigir a vulnerabilidade MS08-067, através da qual o vírus prevalece-se para poder se espalhar. As aplicações da atualização automática se aplicam somente para o Windows XP SP2, SP3, Windows 2000 SP4 e Windows Vista; o Windows XP SP1 e versões mais antigas não são mais suportados.[23]
A Microsoft tem liberado desde então um guia de remoção do vírus, e recomenda o uso da mais nova versão do banco de dados de sua ferramenta de remoção de softwares maliciosos[48] para remover o vírus, e então aplicar a atualização para evitar uma possível reinfecção.[49]
Softwares antivírus
editarOs softwares antivírus não-ligados a Microsoft, tais como a BitDefender,[50] Enigma Software,[51] Eset,[52] F-Secure,[53] Symantec,[54] Sophos,[55] e o Kaspersky Lab[56] liberaram atualizações com programas de detecção em seus produtos e são capazes de remover o vírus. A McAfee e o AVG também são capazes de remover o vírus através de escaneamentos de discos rígidos e mídias removíveis.[57][58]
Ações das agências federais americanas
editarO United States Computer Emergency Readiness Team (CERT) recomenda a desabilitação da execução automática para prevenir a infecção da variante B por meio de mídias removíveis, mas descreve que as instruções da Microsoft, que recomenda a desabilitação da execução automática, "não são totalmente eficazes." A CERT elaborou um novo guia de desabilitação da execução automática.[59] A CERT também fez uma ferramenta baseada em rede para detectar computadores infectados pelo Conficker que estão disponíveis para as agências estaduais e federais dos Estados Unidos.[60]
Referências
- ↑ «Three million hit by Windows worm». BBC (em inglês). BBC News Online. 16 de janeiro de 2009. Consultado em 16 de janeiro de 2009
- ↑ Leffall, Jabulani (15 de janeiro de 2009). «Conficker worm still wreaking havoc on Windows systems». Government Computer News (em inglês). Consultado em 29 de março de 2009
- ↑ a b Markoff, John (19 de março de 2009). «Computer Experts Unite to Hunt Worm». New York Times (em inglês). Consultado em 29 de março de 2009
- ↑ a b c d e Porras, Phillip; Saidi, Hassen; Yegneswaran, Vinod (19 de março de 2009). «An Analysis of Conficker». SRI International (em inglês). Consultado em 29 de março de 2009. Arquivado do original em 1 de abril de 2009
- ↑ Grigonis, Richard (13 de fevereiro de 2009). «Microsoft's $5,000,000 Reward for the Conficker Worm Creators». IP Communications (em inglês). Consultado em 1 de abril de 2009
- ↑ Phillips, Joshua. «Malware Protection Center - Entry: Worm:Win32/Conficker.A». Microsoft (em inglês). Consultado em 1 de abril de 2009
- ↑ «Questions and Answers: Conficker and April 1st». F-Secure (em inglês). 26 de março de 2009. Consultado em 3 de abril de 2009
- ↑ «Conficker Eye Chart». Conficker Working Group (em inglês). Consultado em 3 de abril de 2009
- ↑ Markoff, John (22 de janeiro de 2009). «Worm Infects Millions of Computers Worldwide». New York Times (em inglês)
- ↑ «Operating system market share». netmarketshare.com. Consultado em 22 de dezembro de 2018
- ↑ Leyden, John (19 de janeiro de 2009). «Three in 10 Windows PCs still vulnerable to Conficker exploit». The Register (em inglês). Consultado em 20 de janeiro de 2009
- ↑ Sullivan, Sean (16 de janeiro de 2009). «Preemptive Blocklist and More Downadup Numbers». F-Secure (em inglês). Consultado em 16 de janeiro de 2009
- ↑ Neild, Barry (16 de janeiro de 2009). «Downadup virus exposes millions of PCs to hijack». CNN (em inglês). Consultado em 18 de janeiro de 2009
- ↑ «Virus strikes 15 million PCs». UPI.com (em inglês). 26 de janeiro de 2009. Consultado em 25 de março de 2009
- ↑ «Six percent of computers scanned by Panda Security are infected by the Conficker worm». Panda Security (em inglês). Panda Security. 21 de janeiro de 2009. Consultado em 21 de janeiro de 2009
- ↑ Willsher, Kim (7 de fevereiro de 2009). «French fighter planes grounded by computer virus». The Telegraph (em inglês). Consultado em 1 de abril de 2009
- ↑ Williams, Chris (20 de janeiro de 2009). «MoD networks still malware-plagued after two weeks». The Register (em inglês). Consultado em 20 de janeiro de 2009
- ↑ Williams, Chris (20 de janeiro de 2009). «Conficker seizes city's hospital network». The Register (em inglês). Consultado em 20 de janeiro de 2009
- ↑ «Conficker-Wurm infiziert hunderte Bundeswehr-Rechner». PC Professionell (em inglês). 16 de fevereiro de 2009. Consultado em 1 de abril de 2009
- ↑ Leyden, John (27 de março de 2009). «Leaked memo says Conficker pwns Parliament». The Register (em inglês). Consultado em 29 de março de 2009
- ↑ a b Tiu, Vincent (27 de março de 2009). «Microsoft Malware Protection Center: Information about Worm:Win32/Conficker.D». Microsoft (em inglês). Consultado em 30 de março de 2009
- ↑ AVG VirusLab News. «Virus Lab: Downadup/Conficker Worm». AVG (em inglês). Consultado em 2 de abril de 2009. Arquivado do original em 4 de março de 2009
- ↑ a b c d «Microsoft Security Bulletin MS08-067». Microsoft (em inglês). 23 de outubro de 2008. Consultado em 19 de janeiro de 2009. Arquivado do original em 18 de janeiro de 2009
- ↑ a b c d e Park, John (27 de março de 2009). «W32.Downadup.C Pseudo-Random Domain Name Generation». Symantec (em inglês). Consultado em 1 de abril de 2009[ligação inativa]
- ↑ a b c Nahorney, Ben; Park, John (13 de março de 2009). «Propagation by AutoPlay». The Downadup Codec (PDF). Symantec (em inglês). [S.l.: s.n.] 32 páginas. Consultado em 1 de abril de 2009
- ↑ a b c Chien, Eric (19 de janeiro de 2009). «Downadup: Peer-to-Peer Payload Distribution». Symantec (em inglês). Consultado em 1 de abril de 2009[ligação inativa]
- ↑ a b «W32.Downadup.C Bolsters P2P». Symantec (em inglês). 20 de março de 2009. Consultado em 1 de abril de 2009[ligação inativa]
- ↑ «CVE-2008-4250». Common Vulnerabilities and Exposures, Departmento de Segurança Nacional dos Estados Unidos da América (em inglês). 4 de junho de 2008. Consultado em 29 de março de 2009. Arquivado do original em 13 de janeiro de 2013
- ↑ «Passwords used by the Conficker worm». Sophos (em inglês). Consultado em 16 de janeiro de 2009
- ↑ Robertson, Andrew (12 de fevereiro de 2009). «Microsoft Collaborates With Industry to Disrupt Conficker Worm». ICANN (em inglês). Consultado em 1 de abril de 2009
- ↑ a b c d e Porras, Phillip; Saidi, Hassen; Yegneswaran, Vinod (19 de março de 2009). «An Analysis of Conficker C (draft)». SRI International (em inglês). Consultado em 29 de março de 2009. Arquivado do original em 1 de abril de 2009
- ↑ Leder, Felix; Werner, Tillmann (2 de abril de 2009). «Containing Conficker». Instituto Ciência da Infomática, Universidade de Bonn (em inglês). Consultado em 3 de abril de 2009
- ↑ «Win32/Conficker.C». Computer Associates (em inglês). 11 de março de 2009. Consultado em 29 de março de 2009
- ↑ «Malware Protection Center - Entry: Worm:Win32/Conficker.D». Microsoft (em inglês). Consultado em 30 de março de 2009
- ↑ «Virus alert about the Win32/Conficker.B worm». Microsoft (em inglês). 15 de janeiro de 2009. Consultado em 22 de janeiro de 2009
- ↑ Goodin, Dan (30 de março de 2009). «Busted! Conficker's tell-tale heart uncovered». The Register (em inglês). Consultado em 31 de março de 2009
- ↑ Bowes, Ronald (30 de março de 2009). «Scanning for Conficker with Nmap». SkullSecurity (em inglês). Consultado em 31 de março de 2009
- ↑ Asadoorian, Paul (1 de abril de 2009). «Updated Conficker Detection Plugin Released». Tenable Security (em inglês). Consultado em 2 de abril de 2009. Arquivado do original em 26 de setembro de 2010
- ↑ O'Donnell, Adam (12 de fevereiro de 2009). «Microsoft announces industry alliance, $250k reward to combat Conficker». ZDNet (em inglês). Consultado em 1 de abril de 2009
- ↑ Neild, Barry (13 de fevereiro de 2009). «$250K Microsoft bounty to catch worm creator». CNN (em inglês). Consultado em 29 de março de 2009
- ↑ Mills, Elinor (12 de fevereiro de 2009). «Microsoft offers $250,000 reward for Conficker arrest». CNET (em inglês). Consultado em 2 de abril de 2009
- ↑ Messmer, Ellen (12 de fevereiro de 2009). «Microsoft announces $250,000 Conficker worm bounty». Network World (em inglês). Consultado em 2 de abril de 2009. Arquivado do original em 17 de fevereiro de 2009
- ↑ Arthur, Charles (13 de fevereiro de 2009). «Microsoft puts $250,000 bounty on Conficker worm author's head». Guardian (em inglês). Consultado em 2 de abril de 2009
- ↑ Maggie Shiels (13 de fevereiro de 2009). «Microsoft bounty for worm creator». BBC (em inglês). Consultado em 13 de fevereiro de 2009
- ↑ «CIRA working with international partners to counter Conficker C». Canadian Internet Registration Authority (em inglês). 24 de março de 2009. Consultado em 31 de março de 2009. Arquivado do original em 29 de abril de 2009
- ↑ D'Alessandro, Macro (30 de março de 2009). «SWITCH taking action to protect against the Conficker computer worm». SWITCH Information Technology Services (em inglês). Consultado em 1 de abril de 2009
- ↑ Bartosiewicz, Andrzej (31 de março de 2009). «Jak działa Conficker?». Webhosting.pl (em inglês). Consultado em 31 de março de 2009. Arquivado do original em 25 de julho de 2011
- ↑ «Malicious Software Removal Tool». Microsoft (em inglês). 11 de janeiro de 2005. Consultado em 29 de março de 2009
- ↑ «Protect yourself from the Conficker computer worm». Microsoft (em inglês). 27 de março de 2009. Consultado em 30 de março de 2009. Arquivado do original em 3 de abril de 2009
- ↑ Radu, Daniel; Cimpoesu, Mihai. «Win32.Worm.Downadup.Gen». BitDefender (em inglês). Consultado em 1 de abril de 2009
- ↑ «Information about Conficker Removal Tool». Enigma Software (em inglês). Consultado em 30 de março de 2009
- ↑ ui42. «Eset - Win32/Conficker.AA». Eset.eu (em inglês). Consultado em 29 de março de 2009
- ↑ «Worm:W32/Downadup.AL». F-Secure (em inglês). Consultado em 30 de março de 2009
- ↑ «W32.Downadup Removal - Removing Help». Symantec (em inglês). Consultado em 29 de março de 2009
- ↑ «Conficker Clean-up Tool - Free Conficker detection and removal». Sophos.com (em inglês). 16 de janeiro de 2009. Consultado em 29 de março de 2009
- ↑ «How to fight network worm Net-Worm.Win32.Kido». Support.kaspersky.com (em inglês). 20 de março de 2009. Consultado em 29 de março de 2009
- ↑ «W32/Conficker.worm». Vil.nai.com (em inglês). Consultado em 29 de março de 2009. Arquivado do original em 28 de fevereiro de 2009
- ↑ «Net-Worm.Win32.Kido». Viruslist.com (em inglês). Consultado em 29 de março de 2009[ligação inativa]
- ↑ «Technical Cyber Security Alert TA09-020A: Microsoft Windows Does Not Disable AutoRun Properly». United States Computer Emergency Readiness Team (em inglês). 29 de janeiro de 2009. Consultado em 16 de fevereiro de 2009
- ↑ «DHS Releases Conficker/Downadup Computer Worm Detection Tool». Departamento de Segurança Nacional (em inglês). 30 de março de 2009. Consultado em 1 de abril de 2009