Win32/Conficker.A e W32.Downadup.b

Continuando os alertas sobre o W32.Downadup.b, na publicação da vacina para quem usa anti-vírus da CA, esse vírus está sendo chamado de Win32/Conficker.A.

Caso na sua empresa ou em sua casa o anti-vírus utilizado seja o E-Trust ou qualquer ferramenta da CA, o link para informações sobre o vírus e download de vacinas atualizadas encontra-se aqui.

Esse vírus explora a falha relatada no documento MS08-067. Nesse outro link, há detalhamentos sobre o vírus com o entitulamento de Win32/Conficker.A.

“Esse vírus ataca mais ambientes corporativos, mas já foram relatados diversos casos de usuários domésticos infectados por ele.”, relata o boletim de segurança da Microsoft. Ele abre uma porta aleatória entre 1024 e 10000 e atua como um Servidor Web. Se propaga para computadores aleatórios na rede explorando a falha MS08-067. Uma vez que o computador remoto é infectado, este fará o download de uma cópia do vírus via HTTP usando uma das portas aleatórias abertas pelo worm.

O worm utiliza também uma extensão .jpg quando espalhado e se salva em uma pasta do sistema local como uma dll qualquer. É interessante notar que o worm corrige uma vulnerabilidade na API da memória, mas isso não quer dizer nada mais do que os criadores dessa praga querem previnir apenas que outros vírus possam dominar a máquina além do deles.

Outro vírus encontrado que explora a mesma falha citada é o Backdoor:Win32/IRCbot.BH.

Um outro detalhe importante a respeito do Win32/Conficker.A ou W32.Downadup.b é que ele impede o acesso a sites como www.microsoft.com, www.ca.com ou www.symantec.com, basicamente sites de anti-vírus e de firewalls, numa clara tentativa de dificultar ainda mais a sua remoção. Esse é o principal motivo que faz com que usuários liguem para o helpdesk atrás de socorro.

Abaixo segue uma lista dos sites e strings que o vírus impede o usuário de acessar:

– virus, spyware, malware, rootkit, defender, microsoft, symantec, norton, mcafee, trendmicro, sophos, panda, etrust, networkassociates, computerassociates, f-secure, kaspersky, jotti, f-prot, nod32, eset, grisoft, drweb, centralcommand, ahnlab, esafe, avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri.

Veja também

<>

Comentários

Topo