none
Conficker RRS feed

  • Pergunta

  • É... mais um tópico sobre o conficker!

    Vou passar aqui minhas experiencias e ver se alguém teve ou está com o mesmo problema. Peguei esse virus aqui na minha rede, em servidores Windows 2003 e também nas estações Windows XP e Vista. Eu já rodei a ferramente da Symantec em algumas estações e em todos os servidores. Eu removi o worm no servidores e atualizaei os Windows com TODAS as atualizações possíveis e ainda assim continuava pegando o vírus. Instalei o Windows Defender (proteção sem custo a curto prazo) e configurei para ser avisado em todas as alterações possíveis no sistema. Bom, pelo menos umas 20 vezes por dia eu tinha que negar a criação dos jobs em \tasks. Compramos o KAV for Windows Server, instalei, atualizei e o problema dos jobs ainda acontece. Ele não permite que crie o arquivo de nome aleatório em \system32, mas os jobs ainda são criados. Cheguei hoje, segunda-feira, e tinha umas 40 alterações no Windows Defender esperando minha intervenção, de at1.job até at40.job. Todos os jobs eram tipicos do conficker (rundll32.exe c:\windows\system32\qqporcaria.d). Provavelmente alguma estação ainda está com o vírus, porém, eu não vou sair perdendo horas passando antivirus nas estações sendo que a qualquer momento alguém pode ser infectado novamente e o meu Windows Server aceitar novamente os jobs. Longa história essa, vamos ao que importa!
    Como posso travar o Windows Server para que não aceite mais criação de jobs remotamente? Eu sou o único administrador da rede, minha senha não é fácil.
    Como eu monitoro as conexões no Windows Server pra saber de onde estão sendo criados esses jobs ou quem está executando processos remotos no meu servidor? Eu como administrador da rede e de todos os computadores, consigo copiar e executar processos remotamente nas estações. A estação que eu uso está livre do worm.

    Bom, é isso. Se eu conseguir ver de onde está vindo um pedido de execução remota de processos, ajuda bem.


    Abraços
    segunda-feira, 29 de junho de 2009 17:11

Respostas

  • Bom dia.

    Reparei que o processo do vírus era executado com o usuário SYSTEM, então fiz uma gambi ontem e até agora não foram criados mais jobs. Tirei todas as permissões da pasta \windows\tasks e deixei apenas para meu usuário pessoal.

    Rodrigo Langella, essa do serviço é nova pra mim. Em um cliente que também pegou esse vírus ele criava uma exceção no firewall com um nome e uma porta TCP aleatórios. No meu caso era criado um arquivo no \windows\system32 e inúmeros jobs na pasta \windows\tasks com o comando pra executar tal arquivo (o vírus). Fera né!?

    Acho que vc deve tentar o seguinte: Deixe o firewall habilitado e veja se tem alguma exceção estranha; Apague esse serviço; Veja se tem jobs no \windows\tasks, se sim, faça o que eu fiz; Altere a senha dos administradores da rede; Instale o KAV, pois o vírus pode até criar os meios para se executar, serviços, jobs, porém, o arquivo em sí o KAV apaga.

    Vai postando aí... qq novidade eu tb posto.


    Abraços
    Ricardo Unterkircher
    quarta-feira, 8 de julho de 2009 11:36

Todas as Respostas

  • Olá Ricardo!

    Neste caso siga as dicas deste tutorial para resolver o problema:

    Conficker Kido Downadup (como removê-lo)

    Obs: Se os malwares bloquearem o download das ferramentas indicadas no tutorial acima, tente baixá-las em um destes web proxys abaixo:

    http://www.cgi-proxy.net/
    http://www.hrmovie.com/
    http://anonymouse.org/anonwww.html
    http://texasproxy.com/p.php?q=&hl=0


    Se mesmo assim o problema persistir, siga também as dicas do tutorial abaixo:

    Dicas para remover os vírus e outros tipos de malwares (para aqueles que já possuem um antivírus)


    http://blindpcs.forumeiros.com/
    segunda-feira, 29 de junho de 2009 23:23
  • Bom dia Antonio.

    Obrigado pela resposta, mas não é esse copiar e colar que eu preciso. Eu não quero remover o conficker, tanto que eu escrevi que o KAV não permite a criação ou a cópia do vírus para o Windows Server, porém, os jobs ainda são criado. Alguém está fazendo isso, e eu quero saber quem e como não permitir que ele ainda seja feito, mesmo depois de fazer todas as atualizações do Windows Server.
    Detalhe, para quem não conhece esse virus, o job não é o vírus, é apenas o comando que executa o vírus (rundll32.exe c:\windows\system32\qqporcaria.ext).

    Abraços
    terça-feira, 30 de junho de 2009 13:52
  • Bom Dia,


    realmente este é o pior vírus que já infrentei. vou tentar descrever todos os passo que já passei.


    Tenho um plantel com mais ou menos 200 maquinas e 3 servidores. Quando pipocou em várias máquinas o aviso de que o vírus Downadup ou Conficker foi encontrado, não pensei duas vezes, tirei todos da rede desligando switches e entao passei a ferramenta da microsoft  KB890830 e instalei o pach KB958644 como manda a receita. Realmente desinfectou a máquina e pude mais um vez ver a cara do windows update. Acontece que em pouco tempo o vírus se instalou de novo.  O tasks do windows e a restauração já estão desabilitados por AD. Existem máquinas que estão reiniciando sozinhas por conta deste vírus.   Instalei em uma máquina um desses Firewalls que se baixa por aí.  A máquina nao foi mais infectada e não reiniciou tbm, mais convenhamos que seria muito chato instalar em 200 maquinas e explicar o que é cada processo e aceitar ou nao quando o firewall perguntar se deseja permitir o arquivo svchost de ter acesso a rede.


    Então porque raios existe um Patch???  Se desinfectamos e novamente sou infectado... o Patch deveria corrigir o problema e nao permitir mais a instalaçao do vírus.


    ALguem passou por isso pode me ajudar?
    sexta-feira, 3 de julho de 2009 11:16
  • SUGIRO O MEU PROCEDIMENTO CHOQUE DE ORDEM .

    Primeira providência é instalar o patch que resolve a vulnerabilidade pelo vírus explorada conforme descrita no boletim de Segurança MS08-067 .
    WindowsXP-KB958644-x86-PTB    Windows2000-KB958644-x86-PTB    WindowsServer2003-KB958644-x86-PTB

    Segunda providência é baixar e rodar a Ferramenta de Remoção de Software Mal-Intencionado (KB890830 ) EM MODO DE SEGURANÇA!!!
    (A Microsoft lançará uma versão atualizada dessa ferramenta na segunda terça-feira de cada mês.)
    Para a implantação desta Ferramenta em um ambiente corporativo você pode criar um script de login que é MUITO bem descrito no seguinte KB-891716 .


    Caso tenhas dúvidas se o Vírus foi de fato removido você também pode rodar (em modo de segurança) a Ferramenta de Remoção do Conficker fornecido pela Symantec, o FixDownadup , Downadup é nome dado a esse vírus pela Symantec, neste link vc seleciona a variante do vírus no qual você acredita estar infectando seus computadores.

    Ao reiniciar a máquina em modo normal vá até a console de Serviços (services.msc ), localize o serviço de ATUALIZAÇÃO AUTOMÁTICA então inicie-o e deixe configurado o "Tipo de Inicialização" como AUTOMÀTICO.
    Ainda na console de Serviços localize o "SERVIÇO DE TRANSFERÊNCIA INTELIGENTE DE PLANO DE FUNDO" então inicie-o e deixe configurado o "Tipo de Inicialização" como AUTOMÀTICO.

    Devido ao fato deste vírus espalhar-se principalmente através de Pendrivers , uma medida para evitar que uma máquina infectada venha contaminar o seu deispositivo é você criar uma PASTA dentro do pendrive chamada "Autorun.inf " e defini-la como Somente Leitura e Oculto . PRONTO!!!
    O vírus tenta gravar um arquivo com informações para realização de um script dentro do seu pendrive, porém como já há um arquivo com o mesmo nome e com propiedades de Somente Leitura e ainda por cima sendo este arquivo uma pasta (que por si só tem privilégios sobre qualquer outro arquivo) ele não consiguirá copiar o arquivo para seu pendrive.

    Caso você tenha algumas estações, você também podria instalar o NINJA Pendisk   que é um aplicativo bem leve que roda no w2k, Xp, Vista que executa o mesmo procedimento de criação do arquivo "Autorun.inf " descrito agora pouco acima.

    Sempre vale lembrar e ressaltar a importância da realização das atualizações de todos os componentes de segurança de seu computador (Firewall, Antivírus e principalmente as atualizações do Windows)

    Boa Sorte a Todos.
    .'.
    Rodrigo Nunes
    Analista de Suporte - MCDST
    Pós-Graduando em Projeto e Gerência de Redes de Computadores

    "Eu quase nada sei, mas desconfio de muita coisa."

    Rodrigo Nunes
    Analista de Suporte - MCDST
    Pós-Graduando em Projeto e Gerência de Redes de Computadores
    "Eu quase nada sei, mas desconfio de muita coisa."
    • Sugerido como Resposta RodrickMSN terça-feira, 7 de julho de 2009 02:36
    terça-feira, 7 de julho de 2009 02:36
  • Pessoal, de boa... todos estão cansados de saber de patchs, de KBs, de ferramentinhas, etc... o tópico não é pra saber sobre esses meios comuns de remoção e/ou bloqueio.

    O problema é:
    Você limpa a maquina, instala o patch, NAO USA PENDRIVE e o vírus volta "sozinho" pois alguma estação está com o maldito.

    A solução desejada é:
    Como bloquear a estação para não pegar o vírus. Simples assim.

    Não adianta instalar o KB da MS. É fato! Esse KB pode resolver algum bug que permite UM dos meios desse vírus se propagar, porém, existem outros meios.


    Abraços
    Ricardo Unterkircher
    terça-feira, 7 de julho de 2009 12:30
  • Tirou as palavras da minha boca.... só que eu seria mais sutil.. rsrsr Mas é bem por aí.. ja instalei 300 vezes o patch, retirei 600 vezes o virus com a ferramenta da MS e o vírus sempre volta... Nao é pen drive, nem nada... simplesmente da maquina ficar parada, ligada na rede acontece isso....
    terça-feira, 7 de julho de 2009 12:36
  • E essas máquinas acessam algum tipo de compartilhamento?

    Por acaso os usuários destas estações possuem alguma unidade mapeada na rede, como alguma pasta setorial ou alguma pasta pessoal em algum servidor???

    Já pensaram em verificar tais pastas compartilhadas ou então já removeram o compartilhamento Oculto da unidade de Disco Rígido?

    Rodrigo Nunes
    Analista de Suporte - MCDST
    Pós-Graduando em Projeto e Gerência de Redes de Computadores

    "Eu quase nada sei, mas desconfio de muita coisa."
    terça-feira, 7 de julho de 2009 13:17
  • Na maquina que possui como teste para tentar extinguir o vírus, nao possui nenhum mapeamento ou compartilhamento... a não ser o padrão do dominio C$ e tals.. mais esse nao consigo tirar....  mesmo assim basta alguns minutos e a ja posso passar a ferramenta novamente que esta infectado...






    terça-feira, 7 de julho de 2009 13:23
  • Definitivamente cada caso é um caso, alguns são mais parecidos com outros!!!
    A rede do meu trabalho compreende quase 1.000 estações clientes 2000, XP e nos casos em que o Vírus se manifestou foram realizados os Procedimentos por mim descritos e NÃO voltaram a ocorrer.

    Para instalar o SO vc utiliza qual procedimento? RIS, instalação tradicional ou utiliza algum tipo de Imagem???

    Se no "Compartilhamento e Segurança" do HD vc marcar a opção "Não compartilhar esta pasta" dá algum erro?


    Boa Sorte
    .'.


    Rodrigo Nunes
    Analista de Suporte - MCDST
    Pós-Graduando em Projeto e Gerência de Redes de Computadores

    "Eu quase nada sei, mas desconfio de muita coisa."
    terça-feira, 7 de julho de 2009 14:00
  • Boa tarde!

    Desculpe-me se não fui sutil, mas não estou aqui para ofender. Então, o problema está num sv Windows 2003 SP2 totalmente atualizado e com KAV 6.0 instalado e tb atualizado. Ele não pega o vírus em sí pois o KAV bloqueia, mas as tarefas estão sendo criadas. Ou seja, meu sv está vulnerável. Ver imagens abaixo:

    As tarefas criadas:
    http://img118.imageshack.us/img118/4840/tasks.png

    Detalhe de uma delas:
    http://img39.imageshack.us/img39/6581/taskdetails.png

    A lista das tarefas executadas pelo rundll32:
    http://img31.imageshack.us/img31/6355/processexp.png

    Detalhe de uma tarefa executada:
    http://img104.imageshack.us/img104/1064/processexpdetails.png


    Lembro mais uma vez que ele só fica com a referencia do comando rundll32.exe que chama esse arquivo vcsyvh.p, pois o mesmo nao existe.

    Quanto os compartilhamtos, tenho apenas um aberto para os usuário do domínio, os demais são os compartilhamentos do sistema, ADMIN$, C$, IPC$, NETLOGON e SYSVOL.


    Abraços,
    Ricardo Unterkircher

    terça-feira, 7 de julho de 2009 17:32
  • Tenho 2 sv 2003 com SP2 e ambos estão infectados...


    Quando passo as ferramentas de remoçao ele encontra, porém nao possuo as tasks no servidor.. Felizmente.


    Já nas estações tenho as tasks criadas pelo vírus, e um detalhe que me chamou atenção foi um serviço criado pelo virus com o mesmo nome do arquivo mutante criado na system32.

    http://img38.imageshack.us/img38/9577/27699714.jpg

    Tá complicado...


    Obrigado
    Rodrigo Langella
    terça-feira, 7 de julho de 2009 19:47
  • Bom dia.

    Reparei que o processo do vírus era executado com o usuário SYSTEM, então fiz uma gambi ontem e até agora não foram criados mais jobs. Tirei todas as permissões da pasta \windows\tasks e deixei apenas para meu usuário pessoal.

    Rodrigo Langella, essa do serviço é nova pra mim. Em um cliente que também pegou esse vírus ele criava uma exceção no firewall com um nome e uma porta TCP aleatórios. No meu caso era criado um arquivo no \windows\system32 e inúmeros jobs na pasta \windows\tasks com o comando pra executar tal arquivo (o vírus). Fera né!?

    Acho que vc deve tentar o seguinte: Deixe o firewall habilitado e veja se tem alguma exceção estranha; Apague esse serviço; Veja se tem jobs no \windows\tasks, se sim, faça o que eu fiz; Altere a senha dos administradores da rede; Instale o KAV, pois o vírus pode até criar os meios para se executar, serviços, jobs, porém, o arquivo em sí o KAV apaga.

    Vai postando aí... qq novidade eu tb posto.


    Abraços
    Ricardo Unterkircher
    quarta-feira, 8 de julho de 2009 11:36
  • Enfrentei o mesmo problema na Editora Gráfica Universal em 2009, onde além dos servidores W2K3, a rede possuia quase 300 estações de trabalho divididas entre Windows 2000 Pro, XP Pro e Vista Business.

    Além de instalar todos os patchs de atualização do Windows aqui citados, principalmente os service packs, desabilitamos o serviço "Agendador de tarefas" em todos os micros da rede via GPO, fizemos uma força tarefa e rodamos as ferramentas disponíveis no arquivo abaixo em modo de segurança em todas as estações de trabalho.

    http://www.4shared.com/file/98JITCBb/Fix_Downadup.html

    O problema foi definitivamente resolvido.


    Atenciosamente, Johnson de Souza Cruz - www.techjohnson.com.br - Se a minha resposta for útil, classifique por favor!
    segunda-feira, 4 de julho de 2011 11:23
  • 1° O conficker se espalha como uma praga afetando toda a rede. Minha sugestão é formatar o computador, atualizar ele completamente, instalar o Microsoft security essencials, e fazer essa mesma instalação nos outros computadores. O conficker irá criar uma rede zumbi se não for detido. Execute o MSE e a ferramenta de remoção de software mal-intencionado da microsoft. Visto o conficker corromper o windows o ideal é formatar computador por computador e executar o que foi mencionado. Mas um detalhe, compartilhe a rede do computador após o computador estar protegido. Você infelizmente terá que fazer a formatação e atualização de todas as máquinas. Quase tive uma contaminação desastrosa com conficker e variações dele ao me trazerem um pendrive contaminado (o MSE identificou inúmeros vírus e ameaças). Veja mais detalhes (http://pt.wikipedia.org/wiki/Conficker) muitas vezes volto pra casa com esse problema devido a conectar meu pendrive em computadores contaminados.
    terça-feira, 2 de agosto de 2011 14:14
  • Felizmente o problema foi resolvido em quarta-feira, 8 de julho de 2009 11:36.

     

    Obrigado.

    Ricardo

    terça-feira, 2 de agosto de 2011 14:26