Alerta! Novo worm dissemina-se e contamina rapidamente computadores com windows em todo o mundo
Descoberto: 21 de novembro de 2008
Atualizado em: 09 de julho de 2010 09:15:40
Também conhecido como: Win32/Conficker.A [Computer Associates], W32/Downadup.A [F-Secure], Conficker.a [Panda Software], [Kaspersky] Net-Worm.Win32.Kido.bt, WORM_DOWNAD.AP [Trend], W32 / Conficker [Norman] :
Tipo: Worm
Duração de infecção: Varia
Sistemas afetados: Windows 2000, Windows 95, Windows 98, Windows ME, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Referências CVE: CVE-2008-4250
Atualizado em: 09 de julho de 2010 09:15:40
Também conhecido como: Win32/Conficker.A [Computer Associates], W32/Downadup.A [F-Secure], Conficker.a [Panda Software], [Kaspersky] Net-Worm.Win32.Kido.bt, WORM_DOWNAD.AP [Trend], W32 / Conficker [Norman] :
Tipo: Worm
Duração de infecção: Varia
Sistemas afetados: Windows 2000, Windows 95, Windows 98, Windows ME, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Referências CVE: CVE-2008-4250
W32.Downadup, também conhecido como Conficker por algumas agências e fornecedores de antivírus, é uma peça extremamente interessante de código malicioso e um dos worms mais prolíficos nos últimos anos. Ele tem uma base extremamente grande de infecção - Estima-se que mais de 3 milhões de computadores - que têm o potencial para fazer muito dano. Isto é principalmente atribuído ao fato de que ele é capaz de explorar computadores que estão executando desatualizados Windows XP SP2 e Windows 2003 SP1. Outros worms lançados ao longo dos últimos anos em grande medida orientada versões mais antigas do sistema, que tem uma distribuição cada vez menor.
Infecção: W32.Downadup propaga principalmente através da exploração do Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31.874), que foi descoberto pela primeira vez no final de outubro de 2008. Faz a varredura da rede para os hosts vulneráveis, mas ao invés de inundando-o com o tráfego, seletivamente consultas vários computadores em uma tentativa de mascarar o seu tráfego em seu lugar. Ele também aproveita Universal Plug and Play para passar através de roteadores e gateways.
Ele também tenta se espalhar para partilhas de rede por brute-forcing senhas de rede usadas e ao se copiar para drives removíveis.
Ele também tenta se espalhar para partilhas de rede por brute-forcing senhas de rede usadas e ao se copiar para drives removíveis.
Funcionalidade: Ele tem a capacidade de atualizar-se ou receber arquivos adicionais para a execução. Ele faz isso por gerar um grande número de novos domínios para conectar-se a cada dia. O worm também pode receber e executar arquivos através de um mecanismo de peer-to-peer por comunicar com outros computadores comprometidos, que são semeados no botnet pelo autor do malware.
O worm bloqueia o acesso a sites de segurança pré-relacionados de modo que parece que a pedido da rede expirou. Além disso, ele exclui entradas do Registro para desativar alguns softwares relacionados a segurança, impedir o acesso ao Modo de segurança e desabilitar as notificações do Windows Security Alert.
O worm bloqueia o acesso a sites de segurança pré-relacionados de modo que parece que a pedido da rede expirou. Além disso, ele exclui entradas do Registro para desativar alguns softwares relacionados a segurança, impedir o acesso ao Modo de segurança e desabilitar as notificações do Windows Security Alert.
SYMANTEC SÍNTESE DE PROTEÇÃO
O conteúdo a seguir é fornecido pela Symantec para proteger contra esta ameaça:
Assinaturas de antivírusO conteúdo a seguir é fornecido pela Symantec para proteger contra esta ameaça:
W32.Downadup.A
W32.Downadup.B
W32.Downadup.C
W32.Downadup.C
W32.Downadup.E
Antivirus (heurística / genérico)
W32.Downadup!autorun
Intrusão para Prevenção do sistema
HTTP W32 Downadup Downloader Activity
P2P Downadup Activity
Proteção Antivírus Datas
Versão de lançamento rápido inicial 21 de novembro de 2008 revisão 052
Última versão de lançamento rápido * 28 de setembro, 2010 revisão 054
Versão diária certificada inicial 22 de novembro de 2008 revisão 003
Última versão diária certificada 28 de setembro, 2010 revisão 036
Data inicial para o lançamento certificado semanal 26 de novembro, 2008
Clique aqui para obter uma descrição mais detalhada do lançamento rápido e definições de vírus diárias certificadas.
Avaliação da ameaça: Feroz,devastador.
Nível Wild: Médio
Número de infecções: 1000 +
Número de Páginas: 10 +
Distribuição geográfica: Médio
Contenção da ameaça: Moderado
Remoção: Moderado
Danos:
Nível de Dano: Médio
Carga: Downloads outros arquivos no computador comprometido.
Desempenho cai: Baixando arquivos remotos podem degradar o desempenho da rede.
Distribuição:
Nível de distribuição: Médio
Alvo da infecção: explora uma vulnerabilidade do windows.
Elaborado por: Shearer Jarrad
Detalhes técnicos.
Como remover:
Remoção usando a Ferramenta de Remoção de W32.Downadup
O Symantec Security Response desenvolveu uma ferramenta de remoção(Removaltool) para limpar infecções do W32.Downadup. Use esta ferramenta de remoção em primeiro lugar, porque é a maneira mais fácil de remover esta ameaça.
Fonte: Symantec
Texto traduzido por Primatecblog
0 comentários :
Postar um comentário