Continuando os alertas sobre o W32.Downadup.b, na publicação da vacina para quem usa anti-vírus da CA, esse vírus está sendo chamado de Win32/Conficker.A.
Caso na sua empresa ou em sua casa o anti-vírus utilizado seja o E-Trust ou qualquer ferramenta da CA, o link para informações sobre o vírus e download de vacinas atualizadas encontra-se aqui.
Esse vírus explora a falha relatada no documento MS08-067. Nesse outro link, há detalhamentos sobre o vírus com o entitulamento de Win32/Conficker.A.
“Esse vírus ataca mais ambientes corporativos, mas já foram relatados diversos casos de usuários domésticos infectados por ele.”, relata o boletim de segurança da Microsoft. Ele abre uma porta aleatória entre 1024 e 10000 e atua como um Servidor Web. Se propaga para computadores aleatórios na rede explorando a falha MS08-067. Uma vez que o computador remoto é infectado, este fará o download de uma cópia do vírus via HTTP usando uma das portas aleatórias abertas pelo worm.
O worm utiliza também uma extensão .jpg quando espalhado e se salva em uma pasta do sistema local como uma dll qualquer. É interessante notar que o worm corrige uma vulnerabilidade na API da memória, mas isso não quer dizer nada mais do que os criadores dessa praga querem previnir apenas que outros vírus possam dominar a máquina além do deles.
Outro vírus encontrado que explora a mesma falha citada é o Backdoor:Win32/IRCbot.BH.
Um outro detalhe importante a respeito do Win32/Conficker.A ou W32.Downadup.b é que ele impede o acesso a sites como www.microsoft.com, www.ca.com ou www.symantec.com, basicamente sites de anti-vírus e de firewalls, numa clara tentativa de dificultar ainda mais a sua remoção. Esse é o principal motivo que faz com que usuários liguem para o helpdesk atrás de socorro.
Abaixo segue uma lista dos sites e strings que o vírus impede o usuário de acessar:
- virus, spyware, malware, rootkit, defender, microsoft, symantec, norton, mcafee, trendmicro, sophos, panda, etrust, networkassociates, computerassociates, f-secure, kaspersky, jotti, f-prot, nod32, eset, grisoft, drweb, centralcommand, ahnlab, esafe, avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri.
Faça seu comentário
13 comentários
ola
gostaria de informar que temos problemas com varios micros infectados na nossa rede, por login de usuario, que ficam enviando paginas em branco ou com apenas uma linha para varias impressoras, de varios usuarios, chegando a imprimir 5 mil copias, num so dia.
O problema é que nao aparece o nome do virus, nem conseguimos ver de onde vem, pois quando vamos na maquina do usuario, nao aparece nada, utilizamos o norton homologado pela empresa, mas tambem utilizamos o avast, avg e antispywares.
Ficarei no aguardo, se puderem me ajudar.
Obrigado
Luiz Sá
Luiz, bom dia. Qual o conteúdo da impressão? Sai alguma coisa legível nessa linha que é impressa? Abraços.
Olá,
Estou com problema com esse vírus, já executei a vacina disponibilizada pela symantec porém não adiantou agora ele fica pegando um arquivo uma "dll" que fica se restaurando no sistema como você informou que fica se copiando pela rede… pode me informar onde consigo encontrar as vacinas informadas acima… esse link não funciona.
Adalto, os links funcionam corretamente, só que os micros afetados pelo conficker ficam impedidos de acessar os sites. Para limpar seu computador você deve usar o "live updater" do seu antivírus ou baixar as atualizações dele em um computador sadio e depois jogar no seu computador. Às vezes o conficker impede que você atualize o antivirus no micro infectado também.
Antes de realizar a limpeza no seu computador você deve ativar o firewall do seu windows e desmarcar todas as caixinhas na aba "exceções" apenas os programas realmente vitais que precisem de acesso à internet devem ficar nesta lista. Desmarque principalmente a caixinha "Compartilhamento de Arquivo e Impressora" porque é esta brecha que deixa o conficker entrar.
Se você não conseguir atualizar o antivirus voce pode acessar este site http://www.trendmicro.com/download/dcs.asp e baixar o "Sysclean Package" e "Latest DCT Control Release" acessar este site http://www.trendmicro.com/download/viruspattern.a… e baixar "Latest Controlled Pattern Release" e neste site http://www.trendmicro.com/download/spywarepattern… baixar "Controlled Spyware Pattern Release" e "Detection and Cleanup (Trend Micro Anti-Spyware) – Ssapiptn.Da5". Basta tirar o zip dos arquivos, jogar todos eles na pasta c:sysclean e rodar o arquivo sysclean.com.
Se você não conseguir seguir estes passos pode ver se consegue acessar algum site de antivirus online como o http://housecall.trendmicro.com/br/ mas acho que com seu micro infectado este site nao deve abrir.
bom dia
Estou com esta virus na empresa que trabalho
Andei pesquisando na internet e achei interessante o seu relato e dica para eliminar o virus, mais estou com uma duvida referente a desabilitar a opção de compartilhamento de arquivo e impressão.Tenho que fazer isto em cada maquina da empresa pois somos 580 usuários que trabalham na rede.
Você tem alguma idei para eu resolver de outra maneira.
obrigado.
Celso, você pode desabilitar o compartilhamento de arquivos e impressoras através de GPO no servidor do Active Directory (se você estiver trabalhando em um domínio).
boa tarde
Marcel,
Estou com pouco de duvida para começar os processo!
1 – Pela GPO desabilitar o Compartihamento, até aqui blz!?
Depois fazer quais passos?
Vc poderia me ajudar….
Se você tem um domínio active directory (com Windows 2000 Server ou Windows Server 2003) você pode criar uma GPO para desabilitar o compartilhamento em todas as máquinas que fazem parte do domínio. Após criar a GPS é só aplicar na OU correspondente e no próximo logon ela será aplicada nos usuários.
Marcel
Aminha duvida não GPO
Mais qual o processo que devo fazer depois de desabilitar o compartilhamento.
Valeu a dica. Vou ficar ligado nos sintomas aqui listados.
Depois de amanhã é primeiro de abril, vamos aguardar e ver o tamanho do problema em todo o mundo…
Boa tarde,Macel!
Gostaria de saber se vocês tem alguma solução para a remmoção do vírus que impede o acesso ao site da microsoft.
Pois todas as vezes que quero acessa-lo apresenta erro.
Serrá que vocês podem me indicar um procedimento para a remoção definitiva deste incomodo sibernético?
Obrigado pela atenção.
Carlos Alberto
Procure pelo norman malware cleaner e passe ele. <a href="http://www.google.com.br/url?sa=t&source=web&ct=res&cd=1&ved=0CAgQFjAA&url=http%3A%2F%2 Fwww.norman.com%2Fsupport%2Fsupport_tools%2F58732%2Fen&rct=j&q=norman+malware+cleaner&ei=Clv3StKfCIONuAeKup21AQ&usg=AFQjCNGMfox2R6lD5bABWUbQJ0MOVQSdzA” target=”_blank”>http://www.google.com.br/url?sa=t&source=web&…” target=”_blank”>Fwww.norman.com%2Fsupport%2Fsupport_tools%2F58732%2Fen&rct=j&q=norman+malware+cleaner&ei=Clv3StKfCIONuAeKup21AQ&usg=AFQjCNGMfox2R6lD5bABWUbQJ0MOVQSdzA
Vale a pena ler…
Posts Novos
CURTA NO FACEBOOK
SOBRE O BLOG
O Byte Que Eu Gosto é um blog nerd/geek com tendências humorísticas. Os comentários não necessariamente refletem a opinião do autor.
ESTATÍSTICAS