Post on 14-Jun-2015
1
UNIRONDON CENTRO UNIVERSITÁRIO
MARCOS VINICIUS GOULART
ATUAÇÃO DO VÍRUS CONFICKER
Cuiabá 2009.
2
MARCOS VINICIUS GOULART
ATUAÇÃO DO VÍRUS CONFICKER
Trabalho de conclusão de curso apresentado como parte das atividades para obtenção do título de Bacharel em Ciência da Computação, do curso de Ciência da Computação da Faculdade do curso de Ciência da Computação da Fundação UNIRONDON área de concentração em informática.
Orientador: Prof° André Valente do Couto
Cuiabá 2009
3
MARCOS VINICIUS GOULART
ATUAÇÃO DO VÍRUS CONFICKER
Trabalho de conclusão de curso apresentado como parte das atividades para obtenção do títu-lo de Bacharel em Ciência da Computação, do curso de Ciência da Computação da Faculdade do curso de Ciência da Computação da Funda-ção UNIRONDON área de concentração em in-formática
Aprovado em 04 de dezembro de 2009.
BANCA EXAMINADORA
__________________________________________ Prof. André Couto Valente Unirondon Centro Universitário
__________________________________________ Prof. Andersown Becher Paes de Barros Unirondon Centro Universitário
__________________________________________ Prof. Reginaldo Hugo Szezupior dos Santos Unirondon Centro Universitário
4
Dedico este trabalho aqueles que, direta ou indiretamente, colaboraram
oferecendo sugestões, fazendo leitura ou discutindo particularidades.
5
Agradeço a todos os que me ajudaram na elaboração deste trabalho
especialmente o meu orientador: André Valente do Couto e a professora - Renata
Bortoluz que não mediram esforços. E aos meus familiares que com sabedoria me
conduziram no caminho da vida.
6
Inclina o ouvido, e ouve as palavras dos sábios, e aplica o
teu coração ao meu conhecimento.
Proverbios 22:11
7
RESUMO
O crescente número de contaminações de vírus de computador na atual década tem levado várias empresas na área de segurança da informação a se tornar mais espe-cializadas nestes tipos de pragas e variantes, que vem se alastrando cada vez em uma velocidade crescente, destruindo e roubando informações, trazendo milhões de reais em prejuízo para as empresas e computadores pessoais. O grande aumento vem assustando de maneira grandiosa, com base na atual década a 1.650.277 mi-lhões de vírus conhecidos ou assinaturas de vírus, perfazendo que os vírus feitos pelos os Hackers têm uma abrangência muito diferente daquela época. Os Hackers são pessoas que atacam outras máquinas com fins criminosos com um objetivo tra-çado: capturar senhas bancárias, números de conta e informações privilegiadas que lhes despertem a atenção. As ameaças da internet geraram prejuízos de US$ 13,3 bilhões às empresas em todo o mundo, a pesquisa inclui os vírus spyware, adware, vírus de banker, limpezas feitas pelos antivírus, baixa produtividade por causa de sistema lento e a quantidade de tempo para a restauração do sistema contaminado. Prevendo isso pode-se detalhar as situações possíveis dos computadores da atual década e detalhar um dos vírus mais famosos de devastadores desta época, levan-tando as soluções possíveis para a prevenção contra os vírus de computador e de-mais pragas. Atuando com diferentes antivírus para fazer o scan nos computadores e das redes. O detalhamento será da seguinte forma, atividade na rede, conexões de rede, estatísticas de objetos infectados e limpos, contaminação de documentos, e-mail, acesso a web, programas limpos, programas infectados, programas perigo-sos e programas maliciosos.
Palavras-chave: Vírus de computador, keylloger, spyware, tronjans, antivírus.
8
ABSTRACT
The increasing number of contaminations of virus of computer in the current decade has led varies companies in the area of security of the information if to become more specialized in these types of plagues and variants, that come if spreading each time in increasing speed, destroying and stealing information, bringing personal Real mil-lions in damage for companies and computers. The great increase comes scaring in huge way, on the basis of the current decade has 1.650.277 million known viruses or assi of virus, perfazendo that the viruses made for the Hackers have a very different abragencia of that time. Hackers is people who attack other machines with criminal ends with a traced objective: to capture banking passwords, numbers of account and privileged information that them despertem the attention. The threats of the Internet had generated US$ damages 13,3 billion to the companies in the whole world, the research include the viruses spyware, adware, virus of banker, cleannesses made for the antiviruses, low productivity because of slow system and the amount of time for the restoration of the contaminated system. Foreseeing this we will go to detail the possible situções of the computers of the current decade and to detail one of the viruses fomosos of devastadores of this time, being raised the possible solutions for the prevention against the viruses of computer and too much plagues. We will go to use different antiviruses for the scaniamento of the computers and the nets. The de-tailing will be of the following form, activity in the net, connections of net, infectados and clean object statisticians, document contamination, email, clean access web, programs, infectados programs, dangerous programs and malicious programs.
Keywords: computer viruses, keylloger, spyware, tronjans, antivirus.
9
LISTA DE ILUSTRAÇÕES
Figura 1 Novas assisnaturas de códigos maliciosos ................................................ 20
Figura 2 Infecções no mundo .................................................................................. 20
Figura 3 Abrindo arquivos no USB .......................................................................... 24
Figura 4 Generalização do Conficker ...................................................................... 25
Figura 7 svchost.exe ............................................................................................... 29
Figura 8 Autorun.inf infectado ................................................................................. 30
Figura 9 Arquivo jwgkvsq.vmx ................................................................................. 31
Figura 10 Permissão da chave de registro .............................................................. 32
Figura 11 Código de geração de domínio ............................................................... 33
Figura 12 Aumento de trafego ................................................................................. 34
Figura 13 Acessando sites bloqueados pelo Conficker ........................................... 35
Figura 15 Serviços desabilitados pelo Conficker ..................................................... 37
Figura 16 Atualização Automática ........................................................................... 38
Figura 17 Desabilitando o Windows Defender ........................................................ 39
Figura 18 Central de segurança desabilitado pelo Conficker .................................. 40
Figura 19 Tarefa agendada pelo Conficker ............................................................. 41
Figura 20 Abrindo uma tarefa agendada pelo vírus ................................................ 42
Figura 21 Infecção via rede P2P ............................................................................. 43
Figura 22 Abertura de arquivo duplicado................................................................. 45
Figura 23 Abrir pasta certa ..................................................................................... 46
Figura 24 Alteração de registro de USB .................................................................. 47
Figura 25 Antivírus detectando Conficker ................................................................. 47
Figura 26 Windows Update ..................................................................................... 49
Figura 27 Windows Update diferente ...................................................................... 50
Figura 28 Avast ....................................................................................................... 51
Figura 29 AVG ......................................................................................................... 51
Figura 30 AVIRA ....................................................................................................... 52
Figura 31 Kasperky ................................................................................................. 53
Figura 32 NOD32 .................................................................................................... 54
Figura 33 Aumento de trafego na rede ..................................................................... 56
Figura 34 Inserir sites bloqueados .......................................................................... 57
Figura 36 Infected ................................................................................................... 59
Figura 37 Vulnerable ............................................................................................... 60
Figura 38 Fixed ....................................................................................................... 61
10
SUMÁRIO
Introdução ................................................................................................................ 11
1 Os vírus de computador .................................................................................... 13
1.1 A tecnologia ................................................................................................................ 13
1.1.1 Perigos da tecnologia ................................................................................................................... 14
1.2 O que é um vírus? ...................................................................................................... 15
1.2.1 História dos Vírus ......................................................................................................................... 15
1.2.2 Tipos de vírus ............................................................................................................................... 19
1.2.3 Estatísticas de vírus ..................................................................................................................... 19
1.2.4 Vírus a ser estudado .................................................................................................................... 21
2 O Conficker ..................................................................................................... 22
2.1 Caracteristicas ............................................................................................................ 23
2.1.1 Diretórios ...................................................................................................................................... 26
2.1.2 Contaminação do registro ............................................................................................................ 27
2.1.3 Infecção USB ............................................................................................................................... 30
2.1.4 Infecção via internet ..................................................................................................................... 31
2.1.5 Sintomas da infecção da rede ...................................................................................................... 34
2.1.6 Ativação do agendador de tarefas ............................................................................................... 40
2.1.7 Infecção via P2P .......................................................................................................................... 42
2.2 Remoção e prevenção ................................................................................................ 44
2.2.1 Atualização Crítica ....................................................................................................................... 48
2.2.2 Firewall ......................................................................................................................................... 54
2.2.3 Administradores de rede .............................................................................................................. 58
2.2.4 Prevenções gerais ........................................................................................................................ 61
Considerações finais .............................................................................................. 63
Referências bibliográficas ...................................................................................... 65
11
INTRODUÇÃO
Considerando que os computadores das redes mundiais não estão 100% segu-
ros, necessitam de uma segurança muito maior por necessidade dos usuários não
se darem conta das vulnerabilidades que se encontram nos sistemas que estão u-
sando. Usuários dos computadores guardam arquivos importantes, digitam senhas
de diversos tipos, como senhas de emails, sistemas para acesso restrito, comunida-
des, acessam bancos e dentro outras informações preciosas, estando assim cor-
rendo vários perigos como perda de dados, roubo de dados, lentidão nos sistemas e
o corrompimento das informações; através deste estudo, irei conceder uma maior
segurança de informação dos dados e dos sistemas, protegendo conforme concep-
ções apresentadas por nossos testes, com vírus mais atual e famoso desta época,
dissecando-o e mostrado suas formas de atuações, seu código fonte e o bloqueio
destes vírus. Com estes dados pode-se elaborar um estudo detalhado, produzindo
estatísticas de vírus e suas variantes.
Tendo em mãos estes dados, pode-se classificar os programas maliciosos
(Malware) que são criados para provocar danos ao computador e ao seu utilizador:
por exemplo, para roubar, bloquear, alterar ou apagar informação ou para perturbar
o funcionamento de um computador ou de uma rede de computadores e os progra-
mas potencialmente indesejados, ao contrário dos programas maliciosos, que não
se destinam unicamente a provocar danos, mas podem ajudar a penetrar no siste-
ma de segurança de um computador, para produzir detalhadamente às formas de
contaminações segundo o estudo e também as melhores proteções para estes tipos
de contaminações, evitando assim as contaminações destas pragas virtuais.
Com o conceito de uma cultura de atualização de software, práticas bem elabo-
radas de proteção em tempo real (análise heurística), utilização de software livre
aonde não existe estes tipos de contaminações, limpeza de arquivos aonde se pode
encontrar tais pragas virtuais, criação e recuperação de disco, monitoramento de
rede em tempo real para que possam encontrar anormalidades, bloqueio de arquivo
auto executáveis ou autorun e correção de falhas do sistema com o conceito de que
12
sistemas atualizados estão muito mais seguros do que sistemas que não atualizam
ou corrigem suas falhas.
Nesse contexto, inserem-se a importância de estudos relativos ao nível de con-
taminações propostas deste vírus atual que tem infectado milhões de computadores
apresentando seus efeitos no mesmo dia. O presente trabalho teve como objetivo
avaliar o nível de proteção e perdas provocadas por vírus no século atual.
Esta pesquisa pretende analisar a contaminação do vírus conficker nos sistemas
oepracionais Windows XP.
Indentificar a propagação do vírus conficker nos Sistemas Operacionais do Win-
dows XP.
Investigar o comprometimento do Sistema Operacional na apresentação do
Conficker.
Investigar as formas de contaminação do Conficker e descrever a forma de re-
moção do Conficker.
13
1 OS VÍRUS DE COMPUTADOR
A sabedoria é a coisa principal; adquire pois a sabedoria, emprega tudo o que possuis na aquisição de entendimento.
Provérbios 4:7
1.1 A tecnologia
Para compreender os aspectos referentes à tecnologia, o primeiro passo consis-
te em discutir o que é tecnologia.
Para Goodman (1990), além de presente em todas as formas de organização, a
tecnologia é também uma potente força. Ela pode estender as capacitações huma-
nas. A revolução industrial por exemplo, utilizou tecnologia para estender a capaci-
dade física de trabalho. De forma análoga, a revolução da informática está esten-
dendo as nossas capacitações mentais e redistribuindo o tempo que gastamos nas
diversas atividades.
Segundo ainda o mesmo autor, a tecnologia é dinâmica e evolui rapidamente. O
seu desenvolvimento está longe de terminar. O rápido desenvolvimento das novas
formas de tecnologia dificultam identificar como as novas formas de organização
aparecerão no futuro.
Para Orrico (2004) as tecnologias estão se multiplicando muito rápido, mas al-
gumas destas são desenvolvidas não para nos auxiliar na melhoria, mas sim muitas
vezes são ameaçadoras o suficiente e poderosa para a destruição. Estes são co-
nhecidas como vírus de computador.
O autor ainda faz uma afirmação que somente as pessoas com conhecimen-
to avançado de programação criavam vírus, devido ao nível de linguagem de que
era requisitado e uma abrangência de conhecimento do programador que estava em
questão. Hoje é bem diferente, pois já existem vários programas que criam vírus ao
gosto dos usuários, e também empresas fictícias que cobram um serviço por deter-
minação do cliente, a exemplo de um roubo de banco de dados.
14
Por estas questões, ficar atualizados, atentos e preparados é a melhor opção
para combater e identificar os vírus infestados em nossos computadores, para que
não passe por estes maus percalços.
1.1.1 Perigos da tecnologia
Os problemas que estão cada vez mais recorrentes nas pessoas que desfrutam
do uso dos computadores é a falta de segurança, a tecnologia está tomando mais e
mais espaço na vida de cada um. A cada dia o número de ações maliciosas e en-
ganadoras aumenta, sem muitas vezes nos dar-se conta que existem espiões den-
tro de nossos computadores, como Hackers, crackers e outros que estão tentando
ganhar acesso aos nossos dados, utilizando-os em seu proveito e nos causando
problemas. Para aqueles que vão, além disto, pode-se dizer que nossas vidas fa-
zem parte de um Big Brother, sendo verificadas em todos os dias por Hackers, que
desenvolveram vírus que capturam todos os nossos dados (ROHR, 2009).
Conforme ainda o mesmo autor, se de um lado há a ameaça pessoal por falta
de segurança, de outro pode-se conviver com o crescente número de pragas virtu-
ais. Como a cada dia no mundo existem assaltos, assassinatos, roubos e dentro ou-
tros, no mundo virtual não seria diferente, mas com um pouco mais de criatividade.
Ter todos os cuidados, evitando as infecções, será uma ótima escolha. Mas tudo se
pode fazer não é suficiente e sempre há a possibilidade de um desses organismos
virtuais penetrarem em uma máquina, causando problema, pois as tecnologias são
feitas pelos próprios homens, sempre estajam sujeitas às vulnerabilidades, por isso
não existe um sistema 100% confiável.
Hoje, para cada medida de defesa há uma infinidade de ataques que ao menos
nunca ainda nunca se viu ou se tem pouco conhecimento. E tanto é assim que as
empresas dedicadas à segurança estão sempre um passo atrás de quem, do outro
lado, cuida do desenvolvimento deste tipo de ação, seja em relação a vírus ou a ou-
tros programas mal intencionados, a sempre uma mente brilhante trabalhando para
a destruição de informações, procurando sempre uma brecha para entrar (ROHR,
2009).
15
1.2 O que é um vírus?
De acordo com o pesquisador Cohen (1983) Vírus é um tipo de programa. Exis-
tem suas diferenças na codificação, mas, no entanto é executado da mesma forma
que um programa comum, a grande diferença está no que o programa faz. O vírus
tem seu código perigoso aos sistemas operacionais, aos drives, programas e docu-
mentos que poderão ser apagados ou danificados.
Um vírus ou praga virtual é um código de máquina que se anexa a um programa
ou arquivo para poder se espalhar entre os computadores da mesma rede, infectan-
do-os à medida que se é executado. Ele infecta enquanto se vai para outros compu-
tadores ou arquivos. Os vírus podem danificar seu software, hardware e arquivos
(MICROSOFT, 2009)¹.
“Vírus, WORMs e cavalos de Tróia são programas mal-intencionados que podem causar danos ao seu computador e às informações armazenadas nele. Também podem deixar a Internet mais lenta e usar o seu computador para espalharem-se entre os seus amigos, familiares, colegas de trabalho e o restante da Web. A boa notícia é que, com prevenção e algum bom senso, você terá menos probabilidade de ser vítima dessas ameaças.” (Microsoft, 2009)1.
De acordo com Orrico (2004, p. 51) os códigos maliciosos são gerados como
executáveis tanto em pendrivers, browsers e nos sistemas operacionais, podem ser
replicados e executados. Depois de executados ficam na memória, procurando to-
das as unidades disponíveis tanto no computador, na rede ou internet para ser repli-
cados e executados pelas possíveis vítimas.
1.2.1 História dos Vírus
Os tradicionais vírus de computador foram amplamente percebidos pela primeira
vez no final da década de 80, e seu surgimento deve-se a vários fatores. O primeiro
fator foi à proliferação dos computadores pessoais. Antes da década de 80 os com-
putadores residenciais praticamente não existiam ou eram simples brinquedos.
Computadores "de fato" eram raros e tinham o seu uso restrito aos "experts". Duran-
te a década de 80 os computadores começaram a se difundir nos escritórios e nas
casas devido à popularidade do IBM PC (lançado em 1982) e do Apple Macintosh
1 MICROSOFT. O que são vírus, worms e cavalos de Tróia?. Disponível em:
<http://www.microsoft.com/brasil/athome/security/viruses/virus101.mspx>. Acesso em 2 dez. 2009.
16
(lançado em 1984). No final da década de 80, os PCs já estavam bem difundidos
em escritórios, residências e campus universitários (BRAIN, 2009).
Conforme a pesquisa de Cohen (1984) em seu paper “Experiments with Compu-
ter Viruses” onde nesse documento ele relata e também batiza os programas de có-
digos nocivos como “Vírus de Computador”. Neste estudo ele mostra a seguinte
evolução do vírus:
1986 - PC Cyborg Trojan - Também conhecido como “Aids Info
Disk”, foi o primeiro código malicioso com um objetivo financeiro
claro. Ele “seqüestrava” o computador da vítima e impedia o a-
cesso aos arquivos, renomeando-os. Para tê-los de volta, o vírus
pedia que US$ 378 fossem enviados a um endereço no Panamá.
1987 – Surge o primeiro Vírus de Computador escrito por dois ir-
mãos: Basit e Amjad que foi batizado como ‘Brain’, apesar de ser
conhecido também como: Lahore, Brain-a, Pakistani, Pakistani
Brain, e UIU. O Vírus Brain documentado como ‘Vírus de Boot’,
infectava o setor de inicialização do disco rígido, e sua propaga-
ção era através de um disquete que ocupava 3k, quando o boot
ocorria, ele se transferia para o endereço da memória
“0000:7C00h” da BIOS que o automaticamente o executava.
1988 – Surge o primeiro Antivírus, por Denny Yanuar Ramdhani
em Bandung, Indonésia. O primeiro Antivírus a imunizar sistema
contra o vírus Brain, onde ele extrai as entradas do vírus do com-
putador em seguida imunizava o sistema contra outros ataques
da mesma praga
1989 – Aparece o Dark Avenger, o qual vem contaminando rapi-
damente os computadores, mas o estrago é bem lento, permitin-
do que o vírus passe despercebido. A IBM fornece o primeiro an-
tivírus comercial. No início do ano de 1989, apenas 9% das em-
presas pesquisadas tinha um vírus. No final do ano, esse número
veio para 63%.
1990 - A família Chameleon é o começo de uma história de vírus
polimórficos modificava a si mesma, assim que se instala.
17
1992 – Michelangelo, o primeiro vírus a aparecer na mídia. É pro-
gramado para sobregravar partes das unidades de disco rígido
criando pastas e arquivos com conteúdos falsos em 6 de março,
dia do nascimento do artista da Renascença. As vendas de soft-
ware antivírus subiram rapidamente.
1994 – Nome do vírus Pathogen, feito na Inglaterra, autor do vírus
chamado Scotland Yard, foi condenado a 18 meses de prisão. É
a primeira vez que o autor de um vírus é processado por dissemi-
nar código destruidor.
1995 – Nome do vírus Concept, o primeiro vírus de macro. Escrito
em linguagem Word Basic da Microsoft, pode ser executado em
qualquer plataforma com Word - PC ou Macintosh. O Concept se
espalha facilmente, pois se replicam através do setor de boot, es-
palhando por todos os arquivos executáveis.
1998 - Back Orifice o primeiro vírus que permitiu que alguém, de
forma remota, controlasse a máquina em que estava instalado.
Uma vez instalado, involuntariamente, em um computador, permi-
te que qualquer usuário de posse do programa BO Client possa
invadir aquela máquina sem o dono saber, enquanto estiver co-
nectado à net e possa fazer qualquer coisa que o dono possa fa-
zer localmente.
1999 – O vírus Chernobyl, apaga o acesso a unidade de disco e
não deixa o usuário ter acesso ao sistema. Seu aparecimento
deu-se em abril. Sua contaminação foi bem pouco nos Estados
Unidos, mas provocou danos difundidos no exterior. A China so-
freu um prejuízo de mais de US$ 291 milhões. Turquia e Coréia
do Sul foram duramente atingidas.
2000 – O vírus LoveLetter, liberado nas Filipinas, varre a Europa
e os Estados Unidos em seis horas. Infecta cerca de 2,5 milhões
a três milhões de máquinas. Causou danos estimados em US$
8,7 bilhões.
18
2001 – A “moda” são os códigos nocivos do tipo WORM (prolife-
ram-se por páginas da Internet e principalmente por e-mail). No-
me de um deles é o VBSWORMs Generator, que foi desenvolvido
por um programador argentino de apenas 18 anos.
2003 - Hacker Defender o objetivo era o de Defender o vírus que
já havia contaminado o computador. Ele escondia pastas de ar-
quivo e, de acordo com seu criador, quis mostrar as fragilidades
dos antivírus. Você não pode ver o Hacker Defender rodando a-
través do Gerenciador de Tarefas, tão pouco no registro do Win-
dows. Ele faz isso de tal forma que nem mesmo um firewall pode-
rá identificar a porta em que ele roda.
2005 - Aurora uma tipo de programa espião que monitorava as
propagandas nas páginas de internet vista de um determinado
computador. E ainda tentava tirar os concorrentes. Acabou viran-
do um caso de Justiça e sua criadora foi fechada.
2007 – Houve muitas ocorrências de vírus no Orkut que é capaz
de enviar scraps (recados) automaticamente para todos os conta-
tos da vítima na rede social, além de roubar senhas e contas
bancárias de um micro infectado através da captura de teclas e
cliques. Apesar de que aqueles que receberem o recado preci-
sam clicar em um link para se infectar, a relação de confiança e-
xistente entre os amigos aumenta muito a possibilidade de o usu-
ário clicar sem desconfiar de que o link leva para um WORM. Ao
clicar no link, um arquivo bem pequeno é baixado para o compu-
tador do usuário. Ele se encarrega de baixar e instalar o restante
das partes da praga, que enviará a mensagem para todos os con-
tatos do Orkut. Além de simplesmente se espalhar usando a rede
do Orkut, o vírus também rouba senhas de banco, em outras pa-
lavras, é um clássico Banker.
2008 - Conficker infectou milhões de computadores, inclusive a-
través de pen drives e obrigou a Microsoft a mudar o sistema de
inicialização do Windows. De difícil desativação. O invasor age de
19
duas formas. Primeiro, mantém comunicação peer-to-peer (P2P)
entre as máquinas infectadas, que podem enviar e receber co-
mandos. Além disso, geram um estoque de 50 mil nomes de do-
mínio todos os dias. Desses, tenta baixar comandos de 500 des-
ses servidores, escolhidos aleatoriamente.
2009 - Psyb0t explora senhas fracas e em vulnerabilidades exis-
tentes em firmwares desatualizados para infectar modems ADSL
e roteadores. É a mais nova praga na praça.
1.2.2 Tipos de vírus
As dificuldades que quase todos os usuários têm é diferenciar um vírus de
computador por outros, que com certeza é pela falta de conhecimento de como
classificar essas variações de programas maliciosos que geram grandes confusões
que andam ocorrendo em muitos destes casos (ULBRICH; DELLA VALLE, 2005).
Como se sabe que existe uma grande variedade de pragas virtuais (pode-se
chama-lo de praga, pois depois da contaminação o computador dificilmente se tor-
nar o mesmo, devido a modificações dos ficheiros, e a dificuldade de restauração
dos ficheiros). A definição do que a praga é ou não é depende de suas ações e for-
mas de contaminação e proliferação. Mesmo havendo essa diferenciação, é comum
dar o nome dos programas maliciosos ou vírus ser generalizados todos os tipos de
pragas (ULBRICH; DELLA VALLE, 2005).
1.2.3 Estatísticas de vírus
Segundo Ulbrich e Della Valle (2005, p.19) a figura abaixo mostra o cresci-
mento dos últimos anos, devido os Hackers não buscam mais a fama e destruição,
mas sim agora eles buscam a riqueza encontrada nos bits como exemplo as senhas
de banco, email, sistemas e as informações confidenciais.
20
Figura 1 Novas assisnaturas de códigos maliciosos Fonte: Symantec Corporation, 2009
Segundo a F-Secure (2009), os Malwares como são chamados os vírus de
computadores, se espalham no globo conforme abaixo, as cores mais fortes são os
países que contem mais contaminações de vírus de computador.
Figura 2 Infecções no mundo Fonte: F-Secure, 2009
21
1.2.4 Vírus a ser estudado
No capítulo 3 do Malware (vírus de computador) mais famoso do mundo que in-
fectou mais de 15 milhões de computadores (a maior infecção de todos os tempos),
este Malware já infiltrou no governo americano, nas redes públicas, nas redes críti-
cas como os controladores de vôo da frança e em milhões de computadores pesso-
ais. Com estes efeitos desastrosos foi feito um lance pela Microsoft de 250.000 dó-
lares por informações que levem à prisão e condenação dos responsáveis por lan-
çar ilegalmente o código malicioso do vírus Conficker na Internet para quem o de-
nunciasse, sendo estimado que já realizasse um prejuízo de mais de 9,1 bilhões,
com isso pode-se apresentar seus métodos de contaminação, suas ações, como o
vírus toma o controle do computador, o que é capaz de fazer, suas variações e co-
mo se proteger. O vírus a ser estudo será o Conficker intitulado como WORM (é um
software auto-replicante, parecido a um vírus, o WORM é um software completo e
não precisa de outro software para se propagar) de computador que pode infectar
seu computador e se espalhar para outros computadores na rede automaticamente,
sem interação humana (JAHANKHANI; HESSAMI; HSU, 2009 p. 194).
Para Framingham (2009) Conficker é tão interessante que foi programado para
se ativar em um dia, para começar a se comunicar com seu criador que será no dia
1 de abril, para se ter uma noção do tanto que é difícil descobrir seu criador, o Con-
ficker gera em torno de cinqüenta mil domínios aleatórios sendo que alguns é o ver-
dadeiro domínio que ele se comunicado recebendo os comandos do seu criador e
assim fazendo seus ataques e baixando mais vírus para os computadores, sendo
assim com essa grande variedade de domínios as grandes operadoras de internet
do mundo fica quase impossível rastrearem sua comunicação e mais interessante é
que muitos continuaram sendo infectados se não fizerem suas atualizações do Win-
dows Update, para muitos fazerem estas atualizações necessita de ter o software
original, que no caso do Brasil a uma grande escala de software pirata e não são
originais.
22
2 O CONFICKER
O Conficker tem Implacavelmente infectado quase todos os Windows XP e Win-
dows 2000 devido à maioria dos Windows não atualizarem devido ao alto grau de
pirataria. A praga já se disseminou para mais de 15 milhões de máquinas pelo mun-
do, já que este número avassalador é bem convervador sendo estes espalhados por
206 países. O Conficker variante A infectou 4.7 milhões de endereços de IP, e o va-
riante B afetou 6.7 milhões de endereço de IP. Veja no apêndice o nível de contami-
nação de cada País e a contaminação em cada browser (PORRAS, et. al. 2009).
Na análise feita pela SRI Internacional (2008) encontrou-se que os dois WORMs
são comparáveis no tamanho e o tamanho do Conficker A e B são de 1M e 3M
hosts, respectivamente. O número que a mídia anda retratando é bem provável que
esteja certíssima. Meados de 2008 têm se visto Hacker se aproveitarem destas bre-
chas e oferecerem ferramentas que apresentavam a remoção do vírus Conficker
que na verdade era ferramenta para abrirem o computador para ser mais hospedei-
ros de vírus (PORRAS, et. al. 2009).
Os clientes mais adiantados da exploração feita pelo Conficker surgiram em se-
tembro de 2008. Os Hackers chineses foram os primeiros a produzirem um pacote
comercial destas falhas para serem exploradas por apenas $37.80. A façanha em-
pregada é chamada de Remote Procedure Call 2 (RPC) uma técnica que os clientes
têm acesso a máquina infectada, o RPC usa a porta 445/TCP, que pode fazer com
que o Windows 200, XP, 2003 e Vista sejam os hospedeiros ou servidores gerando
um código arbitrário segmentado e sem nenhuma autenticação. A exploração da fa-
2 RPC é uma tecnologia popular para programar-la do modelo cliente-servidor de computação distribuída. Uma chamada
de procedimento remoto é iniciada pelo cliente enviando uma mensagem para um servidor remoto para executar um pro-
cedimento específico. Uma resposta é retornada ao cliente.
23
lha pode afetar sistemas como firewalls ativados, que operam com impressões e
compartilhamento de arquivo na rede. O patch, foi liberado pela Microsoft em 23 de
outubro. Não obstante, quase um mês mais tarde, no meado de Novembro, o Con-
ficker utiliza esta mesma falha corrigida pela Microsoft para fazer uma varredura no
mundo inteiro e contaminar milhões de computadores (PORRAS, et. al. 2009).
Ao perguntar-se se o Conficker tem sido capaz de se proliferar de forma tão ex-
tensa? É interessante observar que é por falta dos utilizadores do Windows para a-
tualizar o patch (MS08-067) disponíveis pela Microsoft no Windows Upadate e ter as
melhores seguranças, e mesmo sim o usuário o deixa . A maioria dos usuários igno-
ram as atualizações de segurança disponibilizado pela Microsoft, alguns alegam que
o sistema se torna mais lerdo após a atualização. Porém a grande contaminação
nos computadores é devido a países de baixa renda e grande quantidade de pirata-
ria, a maioria dos sistemas operacionais no caso Windows é pirateado, conseqüen-
temente não oferecem a opção de atualização (PORRAS, et. al. 2009).
2.1 Caracteristicas
Até o momento, pesquisadores de segurança descobriram as seguintes varian-
tes do WORM em estado original. (PORRAS, et. al. 2009).
a) Win32/Conficker.Win32/Conficker.A foi relatado à Microsoft em
21 de novembro de 2008.
b) Win32/Conficker.B Win32/Conficker.B foi relatado à Microsoft em
29 de dezembro de 2008.
c) Win32/Conficker.C Win32/Conficker.C foi relatado à Microsoft em
20 de fevereiro de 2009.
d) Win32/Conficker.D Win32/Conficker.D foi relatado à Microsoft em
4 de março de 2009.
e) Win32/Conficker.E Win32/Conficker.E foi relatado à Microsoft em
8 de abril de 2009.
As suas principais propagações são através da Internet, da rede interna e tam-
bém dos USB. Hoje atualmente sua maior propagação está sendo pelos USB, devi-
24
do a grandes operadoras terem bloqueados seus domínios de propagação e pela
facilidade da mobilidade que o USB traz no seu manuseio de computador para
computador. Já se sabe que o Conficker pode gerá até 50.000 domínios aleatórios e
um deste poderá ser o hospederos de suas ações (PORRAS, et. al. 2009).
Primeiramente a sua cotaminação se da por pen-driver. Quando colocado o pen
driver que tem seu autorun contaminado pelo Conficker como a imagem abaixo, os
usuários estão sujeitos a sua contaminação se os usuários não estão com as atuali-
zações em dia com o Windows Update ou também se o seu antivírus não estiver
com as atualizações em dia (CAIS, 2009).
Figura 3 Abrindo arquivos no USB
Fonte: arquivo/Marcos Vinicius/2009
Como pode-se ver na figura acima esta tela sempre aparece quando colocamos
o nosso pen driver no computador ou notebook, caso o autorun esteja infectado.
25
Atuação do vírus Conficker.
Figura 4 Generalização do Conficker
Fonte: http://www.microsoft.com/library/media/1046/brasil/protect/images/viruses/diagram.jpg
Observando que o computador com o Win32/Conficker acima, na figura 4 está
contaminado com o vírus, ele manda para a rede e os computadores que estão com
pontos de interrogações e os X mostram que estão desprotegidos, estes emblemas
significam que estão com Windows Update, Antivírus e Firewall desabilitados. Mas
já o computador com o V a chave e a bandeira bloqueia os ataques vindos através
dos computadores infectados. E como pode-se ver para finalizar o pen-driver não
tem nenhuma forma de proteção contra os vírus, então é facilmente infectado e por
assim em diante, poderá dependendo da proteção da máquina infectar e passar a-
diante o código malicioso (MICROSOFT, 2009)3.
3 MICROSOFT. Proteja-se contra o worm de computador Conficker. Disponível em:
<http://www.microsoft.com/brasil/protect/computer/viruses/worms/conficker.mspx>. Acesso em 2 dez. 2009.
26
2.1.1 Diretórios
Conforme os dados do Cais (2009), o Conficker tem a capaticadade de se mo-
ver para os seguintes diretórios do sistema operacional:
%Sysdir%\[Random].dll
%Program Files%\Internet Explorer\[Random].dll
%Program Files%\Movie Maker\[Random].dll
%Program Files%\Windows Media Player\[Random].dll
%Program Files%\Windows NT\[Random].dll
%System%\<random filename>.dll
%Documents and Settings%\<username>\Application Data\<random filename>.dll
%Temp%\<random filename>.dll
Exemplo de uma DLL no sistema operacional Windows XP:
Figura 5 Procura DLL
Fonte: arquivo/Marcos Vinicius/2009
27
Segundo Gudgion (2009, p.10) em todos os sistemas operacionas Windows à
pasta %System%, %Program Files%, %Documents and Settings% e %Temp%. As
diferenças que o Conficker faz estão abaixo:
Windows 2000 e NT is C:\Winnt\System32
Windows 95, 98 e ME is C:\Windows\System
Windows XP e Vista is C:\Windows\System32.
2.1.2 Contaminação do registro
Logo após salvar seu arquivo aleatório o Conficker executa o arquivo que está
localizado na pasta do sistema. Exemplo: % System% \ svchost.exe-k netsvcs
(GUDGION, 2009).
O Malware adiciona a seguinte entrada Registro:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ filename <aleatórios> \ Parameters \
ServiceDll = "% System% \ filename <aleatórios>"
28
Como na figura abaixo, consta-se como é sua atuação de forma suscinta.
Figura 6 Contaminação de registro
Fonte: http://www.ca.com/us/securityadvisor/virusinfo/showimage.aspx?caid=77976&name=confickerc
_newservice.gif
29
Na figura 7, o Conficker criou um nome de DLL aleatório, para usá-lo como bibliotecas do Windows para sua atuação (CAIS, 2009).
Figura 7 svchost.exe
Fonte: www.raymond.cc/images/what-is-svchost.png
O serviço svchost.exe (Generic Host Process for Win32 Services) que aparece
acima, foi criado junto com o Windows 2000, é um serviço do sistema operacional
que prove para o computador acesso a internet, nele estão às configurações do
30
DNS. Por isso o Conficker o usa para poder se espalhar através das redes (MI-
CROSOFT, 2009)4.
O ochabwkj.dll é um nome aleatório como disse acima que o Conficker o usa
para a contaminação das bibliotecas do Windows.
2.1.3 Infecção USB
Segundo Gudgion (2009, p.21) nas mídias removíveis o Malware salva uma có-
pia sua de forma oculta dentro da unidade, aonde se encontra a pasta RECYLER.
Um exemplo: “G:\RECYCLER\S-5-3-42-2819952290-82S7834874384383488-
898342759328749437992375\JWGKVSQ.VMX”.
Um exemplo de uma imagem de um pen-driver infectado:
Figura 8 Autorun.inf infectado
Fonte: arquivo/Autor/2009
4 MICROSOFT. Uma descrição do Svchost.exe no Windows XP Professional Edition. Disponível em:
<http://support.microsoft.com/kb/314056/pt-br>. Acesso em 2 dez. 2009.
31
Como pode-se analisar na figura acima, o autorun tem um tamanho de 58kb
muito desproporcional ao tamanho real dos autoruns que não estão infectados que
geralmente são normalmente do tamanho de 10kb (GUDGION, 2009).
Figura 9 Arquivo jwgkvsq.vmx
Fonte: http://www.kill.com.cn/vir/ruchong/middle/images/pic00qt26g4.gif
Para visualizar o arquivo oculto vá em Tools>Folder Options>View>Show hid-
den, folders, and drivers. Caso queira apagar o virus apenas clique sobre o virus e
aperte Shift + Del.
2.1.4 Infecção via internet
Após o computador ter o WORM na máquina, o Malware usa as seguintes vari-
áveis para se propagar (GUDGION, 2009).
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ (random) \ Para-
meters \ "ServiceDll" = "Caminho para WORM"
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ (random) \ "Im-
agePath" =% SystemRoot% \ system32 \ svchost.exe-k netsvcs
32
Após a alteração no registro, o vírus altera as permissões da chave de registro,
tirando a permissão do Administrador e deixando apenas as permissões especiais
para o SYSTEM, como na imagem abaixo (GUDGION, 2009).
Figura 10 Permissão da chave de registro
Fonte: arquivo/Autor/2009
As últimas variantes do Conficker são conhecidas por gerar cinqüenta mil nomes
de domínios, usando seu próprio algoritmo. Abaixo você poderá ver a imagem do
seu código fonte (PORRAS, et. al. 2009).
33
Figura 11 Código de geração de domínio
Fonte: SRI INTERNACIONAL
Este código tem a possibilidade de gerar 116 domínios diferentes, como exem-
plo de: com.uy, com.ua, com.tw, com.tt, com.tr, com.sv, com.py, com.pt, com.pr,
com.pe, com.br entre outros (PORRAS, et. al. 2009).
Tentativas de conexões para os seguintes sites para obter o endereço IP público
do computador afetado (PORRAS, et. al. 2009).
hxxp: / www.getmyip.org /
hxxp: / getmyip.co.uk /
hxxp: / checkip.dyndns.org /
hxxp: / whatsmyipaddress.com /
Tenta baixar um arquivo Malware a partir do site.
hxxp: / / trafficconverter.biz / [virus]. exe
Inicia um servidor HTTP em uma porta aleatória na máquina infectada para
hospedar uma cópia do WORM.
Continuamente verifica a sub-rede do hospedeiro infectado por máquinas vulne-
ráveis e executa o exploit. Se a exploração for bem sucedida, o computador remoto,
então, liga novamente para o servidor HTTP e baixar uma cópia do WORM (POR-
RAS, et. al. 2009).
34
2.1.5 Sintomas da infecção da rede
1. Volume de tráfego de rede aumenta se houver PCs infectados na rede, por-
que ataque à rede começa a partir desses computadores infectados.
Exemplo de um aumento de tráfego na rede (CAIS, 2009).
Figura 22 Aumento de trafego
Fonte: arquivo/Autor/2009
2. É impossível acessar sites da maioria das empresas do anti-vírus, por exem-
plo, avira, avast, eSafe, DrWeb, ESET NOD32, F-Secure, Panda, Kaspersky, Micro-
soft (GUDGION, 2009).
35
Figura 33 Acessando sites bloqueados pelo Conficker
Fonte: arquivo/Autor/2009
3. Uma tentativa de ativar os varios tipos de antivírus e depois tentar atualizá-lo,
os computador infectado com o Net-WORM.Win32.Kido WORM de rede pode resul-
tar no encerramento anormal e dar um dos seguintes erros:
Processo de Ativação concluída com erro de sistema
Nome do servidor não pode ser resolvido.
36
Não é possível conectar ao servidor.
Segundo Gudgion (2009, p.21) exemplo de uma contaminação na máquina a-
onde o vírus bloqueia qualquer conexão vindo de programas de segurança:
Figura 44 Bloqueio da conexão do Kaspersky
Fonte: arquivo/Autor/2009
A seguir a lista de algumas palavras e websites bloqueados pelos Conficker
(PORRAS, et. al. 2009):
Windowsupdate, wilderssecurity, emsisoft, pctools, hacksoft, comodo, avira, a-
vast, esafe, drweb, grisoft, nod32, kaspersky, f'secure, panda, sophos, trendmicro,
mcafee, norton, symantec, Microsoft, Defender, rootkit, Malware, spyware e vírus.
O Conficker também desabilita vários serviços do sistema operacional Windows.
Abaixo veja os bloqueios que o Conficker faz (GUDGION, 2009).
wscsvc - Security Center
37
wuauserv - Automatic updates
BITS - Background Intelligent Transfer Service
WinDefend - Windows Defender
ERSvc - Error Reporting Service
WerSvc - Windows Error Reporting Service
Exemplo da atuação do Conficker bloqueando os serviços:
Figura 55 Serviços desabilitados pelo Conficker
Fonte: arquivo/Autor/2009
Acima visualiza-se as Atualizações Automáticas, relatório de erros, gerenciando
de download e a central de segurança sendo desabilitados quando entra-se nessa
opção pode-se ver claramento a desabilitação (GUDGION, 2009).
38
Figura 66 Atualização Automática
Fonte: arquivo/Autor/2009
Abrindo a opção Windows Defender ele nos motra que foi desativado também
como na imagem abaixo (GUDGION, 2009).
39
Figura 177 Desabilitando o Windows Defender
Fonte: arquivo/Autor/2009
O WORM desabilita toda a central de segunraça do Windows. (GUDGION,
2009).
A Central de Segurança do Windows pode ajudar a aumentar a segurança de seu computador inspecionando o status de vários componentes funda-mentais da segurança do computador, inclusive configurações de firewall, atualizações automáticas do Windows e configurações de software antimal-ware, de segurança da Internet e do Controle de Conta de Usuário Se o Windows detectar um problema em um destes componentes fundamentais da segurança (por exemplo, se o programa antivírus estiver obsoleto), a Central de Segurança exibe uma notificação e coloca um ícone Imagem do escudo vermelho da Central de Segurança da Central de Segurança na área de notificação. Clique a notificação ou clique duas vezes no ícone da Central de Segurança para abrir a Central de Segurança e obter informações sobre como reparar o problema. (MICROSOFT, 2009)5.
5 MICROSOFT. Usando a Central de Segurança do Windows. Disponível em: <http://technet.microsoft.com/pt-
br/library/cc721871%28WS.10%29.aspx>. Acesso em 2 dez. 2009.
40
Veja esta desabilitação feita pelo Conficker da central de segurança:
Figura 18 Central de segurança desabilitado pelo Conficker
Fonte: arquivo/Autor/2009
2.1.6 Ativação do agendador de tarefas
Segundo a Microsoft (2009), o agendador de tarefas tem as seguintes funciona-
lidades:
O snap-in MMC do Agendador de Tarefas permite que você agende tarefas automatizadas que realizem ações em um horário específico ou quando um determinado evento ocorrer. Ele mantém uma biblioteca de todas as tarefas agendadas, fornecendo um modo de exibição organizado das tarefas e um ponto de acesso conveniente para gerenciá-las. Da biblioteca, você pode executar, desabilitar, modificar e excluir tarefas. A interface do usuário (IU) do Agendador de Tarefas é um snap-in MMC que substitui a extensão do Explorer das Tarefas Agendadas no Windows XP, Windows Server 2003 e Windows 2000. Para obter mais informações sobre como iniciar ou acessar a IU do Agendador de Tarefas. (MICROSOFT, 2009)6.
Depois de comprometer uma máquina remotamente, Win32/Conficker.B cria
uma agenda de trabalho remoto com o comando "rundll32.exe <nome do arquivo
6 MICROSOFT. Visão geral sobre o Agendador de Tarefas. Disponível em:< http://windows.microsoft.com/pt-
BR/windows-vista/Using-Windows-Security-Center>. Acesso em 2 dez. 2009.
41
Malware>. Dll, <parâmetros Malware>" para ativar a cópia, como mostrado na figura
19 (PORRAS, et. al. 2009).
Figura 19 Tarefa agendada pelo Conficker
Fonte: arquivo/Autor/2009
Abrindo uma tarefa agendada e quando observardo, o vírus usa a DLL run-
dll32.exe. O Rundll32.exe permite que DLL's sejam executados como executáveis
pelo sistema. Uma DLL é uma "Biblioteca" ou "extensão de arquivo ou arquivos",
com instruções para execução de uma determinada tarefa. Uma DLL pode ser usa-
da por um ou mais programas, pois pode conter instruções em comum para mais de
um programa ou arquivo. O Rundll32.exe geralmente vem desabilitado no sistema,
mas um aplicativo pode ativá-lo para rodar alguma DLL (próprio do programa, de
outro programa ou do sistema), como se fosse executável (PORRAS, et. al. 2009).
42
Figura 20 Abrindo uma tarefa agendada pelo vírus
Fonte: arquivo/Autor/2009
2.1.7 Infecção via P2P
Variantes mais recentes descobertas em março de 2009 incluía uma capacidade
de P2P. Esta capacidade permite Conficker possa se comunicar com outras máqui-
nas infectadas Windows (GUDGION, 2009).
Para facilitar a capacidade de P2P, a necessidade criar vários segmentos que
entrará em contato com máquinas de pares via portas UDP e TCP. Em seguida, ele
ouve em duas portas TCP e UDP e modifica a configuração do Windows Firewall
para que conexão de entrada nessas portas TCP e UDP seja permitida. Essas por-
tas abertas receberão mensagens P2P a partir de máquinas (GUDGION, 2009).
43
As mensagens P2P são criptografadas e contém um código de mensagem que
identifica qual é o conteúdo das mensagens P2P. Um dos tipos de cargas transpor-
tadas por estas mensagens P2P pode ser um código executável que será executado
na máquina do peer que recebeu a mensagem de P2P. (GUDGION, 2009).
O seguinte Registro entradas é criado pela rotina P2P para armazenar seu es-
tado interno (GUDGION, 2009).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows HKEY_LOCAL_MACHINE \
SOFTWARE \ Microsoft \ Windows \CurrentVersion\Explorer\{%d-%d-%d-%d-
%d}\%string% \ CurrentVersion \ Explorer \ (% d-% d-% d-% d% d) \% texto%
HKEY_CURRENT_USER\Software\Microsoft\Windows HKEY_CURRENT_USER \
Software \ Microsoft \ Windows \CurrentVersion\Explorer\{%d-%d-%d-%d-%d}\%string%
\ CurrentVersion \ Explorer \ (% d-% d-% d-% d% d) \% texto%
Para que o Conficker possa se propagar na rede de computadores por P2P, ele
lança uma regra de exceção na configuração do Firewall do Windows para que as
portas TCP e UDP utilizadas pelo código malicioso como na imagem abaixo (GUD-
GION, 2009).
Figura 81 Infecção via rede P2P
Fonte: http://www.iss.net/Display/images/xforce/conficker.gif
44
2.2 Remoção e prevenção
O Windows vem com a opção de todo os discos removíveis serem encontrados
e auto-executados, e é ai que se encontra a brecha. A princípio deve-se remover
todas as nossas infecções encontradas nos pen-driver e bloquear as entradas dos
discos removíeis. Quando você insere uma unidade de flash USB que está infecta-
do, abre o autorun "padrão" e uma janela aparece. Se você clicar na opção padrão
para "Abrir pasta para exibir arquivos", o sistema torna-se infectado, juntamente com
todos os outros computadores em sua rede local (CAIS, 2009).
A janela de autorun que aparece contém uma pasta "falsa Abrir para visualizar
arquivos de entrada" que executa o vírus ao invés de abrir uma pasta para exibir
seus arquivos. Se você clicar nesta opção autorun falso, o vírus é executado de
forma livre e sem restrições. Conficker então cade vez mais se transformando em
diferentes padrões para evitar a detecção de antivírus para infectar todo o seu
mquina e a rede local. Porque ele se transforma seu código de forma aleatória, tra-
dicionalmente a detecção baseada em assinaturas que atualmente utiliza software
antivírus faz a detecção quase impossível. Quando você conecta um drive USB ex-
terno, Conficker usa uma engenharia social "truque para enganá-lo em execução o
vírus e infectar o computador. Basicamente, Conficker modifica a maneira como o
Windows "autorun" funciona quando você conecta um drive USB externo. As duas
telas abaixo mostram como a janela do autorun quando você conectar um dispositi-
vo USB (GUDGION, 2009).
45
Figura 92 Abertura de arquivo duplicado
Fonte: arquivo/Autor/2009
46
Figura 23 Abrir pasta certa
Fonte: arquivo/Autor/2009
Nas duas figuras acima, a duas opções de abertura de arquivo, a primeiro é a
que contém vírus e a seguranda que mostra a ceta vermelha é a padrão do Win-
dows que não contém o Malware.
Então para evitar a contaminação do Conficker através da execução do USB
deve-se clicar sempre em usar o Windows Explorer, desabilitar a execução automá-
tica do USB e passar um antivírus antes de abrir um dispositivo USB (SCHMIDT,
2005).
Instrução para desabilitar execução automática do USB:
Clique em Iniciar e em Executar.
Na caixa Abrir, digite regedit e clique em OK.
Localize e clique na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
No painel à direita, clique duas vezes em Start.
47
Na caixa Dados de valor, digite 4, clique em Hexadecimal (se não estiver sele-
cionado) e em OK.
Feche o Editor do Registro.
Exemplo visual da execução:
Figura 24 Alteração de registro de USB
Fonte: arquivo/Autor/2009
Exemplo de scan com o Antivirus McAfee no pendriver, detectando o vírus Con-
ficker:
Figura 25 Antivírus detectando Conficker
Fonte: arquivo/Autor/2009
48
2.2.1 Atualização Crítica
Em 23 de outubro de 2008 a Microsoft publica sua falha indentificada como
MS08-067 que tem por objetivo corrigir falhar aonde vírus venham controlar os com-
putadores remotamem sem o consentimento do usuário, veja abaixo uma nota ex-
plicativa (MICROSOFT, 2009).
Esta atualização de segurança resolve uma vulnerabilidade reportada em particular no serviço do servidor. A vulnerabilidade pode permitir execução remota de código se um usuário receber uma solicitação de RPC especial-mente criada em um sistema afetado. Nos sistemas Microsoft Windows 2000, Windows XP e Windows Server 2003, um invasor pode explorar esta vulnerabilidade sem autenticação para executar código arbitrário. É possível que esta vulnerabilidade seja usada na criação de uma exploração por WORM. As práticas recomendadas de firewall e as configurações de firewall padrão podem ajudar a proteger recursos de rede contra ataques com ori-gem externa ao perímetro da empresa.Esta atualização de segurança é classificada como Crítica para todas as edições com suporte do Microsoft Windows 2000, Windows XP, Windows Server 2003 e como Importante para todas as edições com suporte do Windows Vista, Windows Server 2008. Pa-ra obter mais informação, consulte a subseção Software afetado e não afe-tado nesta seção. A atualização de segurança elimina a vulnerabilidade, cor-rigindo a maneira como o serviço Servidor manipula solicitações de RPC. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas freqüentes relacionada à entrada da vulnerabilidade específica presente na próxima seção, Informações sobre a vulnerabilidade (MICRO-SOFT, 2009)7.
7 MICROSOFT. Windows Update. Disponível em:
<http://www.microsoft.com/brasil/windows/products/windowsvista/features/details/windowsupdate.mspx>. Acesso em 9
ago. 2009.
49
Atualização do Windows conforme as imagens abaixo:
Figura 26 Windows Update
Fonte: arquivo/Autor/2009
50
Outra opção é acessar o Windows Update no Windows XP, utilizando o menu i-
niciar clássico.
Figura 27 Windows Update diferente
Fonte: arquivo/Autor/2009
3.3.2 Atualizando o Antivírus
A primeira coisa que se deve esclarecer é a importância de sempre estar o anti-
vírus atualizado em seu computador. Todos os dias aparecem vários vírus novos e
todos os dias são desenvolvidos as curas para esses vírus. Muitos programas fazem
isso automaticamente, o que é bom para a segurança, mas podem deixar seu com-
putador ou a conexão com a internet mais lenta. Quando você deixa de atualizar seu
antivírus, você pode correr vários perigos de infecção no seu computador. Os me-
lhores antivírus atualizam seu banco de dados de Malware de 6hrs em 6hrs, fazen-
do com que você esteja menos sujeitos as pragas encontradas no mundo virtual
(MÁRLEO, 2009).
Um exemplo abaixo das atualizações dos principais antivírus.
51
Abrindo o Avast, clique em Ferramentas>atualização>Atualização do Banco de
dados de vírus:
Figura 28 Avast
Fonte: arquivo/Autor/2009
No AVG, para atualizar, clique com o botão direito sobre o ícone da área de noti-
ficação perto do relógio do Windows.
Figura 29 AVG
Fonte: arquivo/Autor/2009
Para fazer a atualização do Avira pode ser feita na própria tela do programa, se-
lecionado a opção "Start update".
52
Figura 30 AVIRA
Fonte: arquivo/Autor/2009
Para Atualizar o Kaspersky clique diretamente sobre o ícone do programa na á-
rea de notificação perto do relógio do Windows:
53
Figura 101 Kasperky
Fonte: arquivo/Autor/2009
54
Para atualizar o NOD32, clique em Update e logo após clique em Update vírus
signature database:
Figura 32 NOD32 Fonte: arquivo/Autor/2009
2.2.2 Firewall
Agora pode-se entender porque deve-se ter na nossa rede um firewall ou na
nossa máquina instalada:
Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. À medida que o uso de informações e sistemas é cada vez maior, a proteção destes requer a aplicação de ferramentas e con-ceitos de segurança eficientes. O firewall é uma opção praticamente impres-cindível. Firewall pode ser definido como uma barreira de proteção, que con-trola o tráfego de dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet). Seu objetivo é permitir somente a transmissão e a recepção de dados autorizados. Existem firewal-ls baseados na combinação de hardware e software e firewalls baseados somente em software. Este último é o tipo recomendado ao uso doméstico e também é o mais comum. Explicando de maneira mais precisa, o firewall é um mecanismo que atua como "defesa" de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados. A vantagem do uso de firewalls em redes, é que somente um computador pode atuar como firewall, não sendo necessário instalá-lo em cada máquina conectada (INFORWESTER, 2009).
De acordo com Cais (2009), os especialistas de segurança descobriram como
detectar o Conficker na rede, e abaixo está como deve-se agir:
55
Caso você seja administrador de rede, é possível identificar máquinas infec-
tadas pelo Conficker através dos seguintes procedimentos:
Atente para o aumento anormal do tráfego de rede em conexões HTTP
(80/TCP), pois o Conficker utiliza este tipo de conexão para receber instruções;
Redes locais com compartilhamento de diretórios provavelmente estarão
mais lentas, dada a ação do Conficker na rede local;
Configure em seu firewall ou Proxy regras que registrem o acesso a URLs
acessadas pelo Conficker. Listas atualizadas constantemente com as URLs que
o Malware tem acessado estão disponíveis em:
http://cert.lexsi.com/weblog/index.php/2009/02/06/276-noms-de-domaine-de-
Conficker-downadup-a-et-b
Configure em seu firewall ou Proxy regras que registrem as seguintes requisi-
ções HTTP, muito provavelmente realizadas pelo Conficker CAIS (2009).
GET http://[IP]/search?q=0 HTTP/1.0"
GET http://[IP]/search?q=1 HTTP/1.0"
GET http://[IP]/search?q=n+1 HTTP/1.0"
Agora pode se ver de forma visual como analisar e bloquear o Conficker.
Neste processo utilizo o NOD32. CAIS (2009).
56
Aumento do trafego na rede:
Figura 33 Aumento de trafego na rede
Fonte: arquivo/Autor/2009
Observa-se que de forma desproporcional o aumento do trafego na figura 33,
tem a possibilidade de infecção.
57
Bloqueando os sites que o Conficker se conecta:
Figura 114 Inserir sites bloqueados
Fonte: arquivo/Autor/2009
Devemos também colocar regras no firewall para bloquear o Conficker veja
CAIS (2009).
58
Figura 125 Regras para bloquear o Conficker
Fonte: arquivo/Autor/2009
2.2.3 Administradores de rede
Conforme a InfoHelp (2009), a melhor ferramenta open source de scanea-
mento de porta é o Nmap, veja sua definição e uso:
O Nmap é um portscan de uso geral, que pode ser usado, sempre que você
precisar verificar rapidamente as portas abertas em determinado host, seja na
sua rede local, seja na Internet (INFOHELP, 2009).
O Nmap é um pacote muito utilizado e por isso está disponível em todas as
principais distribuições. Você pode instalá-lo usando o yast (SuSE), yum (Fedo-
ra), urpmi (Mandriva), ou outro gerenciador de pacotes disponível (INFOHELP,
2009).
Para o usuário comum é difícil usar esta ferramenta na rede, pois necessita
da instalação de um sistema livre na máquina e a instalar do software via apt get
no terminal (INFOHELP, 2009).
59
Após instalar o Nmap utilize esta linha de comando (INFOHELP, 2009).
nmap -PN -T4 -p139,445 -n -v –“script” smb-check-vulns,smb-os-discovery –
“script”-args unsafe=1 ip_do_pc
Se o computador estiver infectado, ele mostrará a seguinte mensagem:
Conficker: Likely INFECTED
Se não estiver infectado, mostrará a seguinte mensagem:
Conficker: Likely CLEAN
Veja a imagem abaixo, mostra que o vírus aplicou o seu próprio patch ->
MS08-067: PATCHED ( possibly by Conficker) (INFOHELP, 2009).
Figura 136 Infected
Fonte: http://www.infohelp.org/wp-content/uploads/2009/04/nmapinfected.gif
60
Conforme a InfoHelp (2009) a imagem abaixo mostra que o Sistema Operacio-
nal não tem a infecção do vírus conficker, mas continua vulnerável devido o patch
da Microsoft MS08-067, não se apresentar instalado.
Figura 37 Vulnerable
Fonte: http://www.infohelp.org/wp-content/uploads/2009/04/nmapvulnerable.gif
61
Quando se faz a atualização do Windows Update é mostrado à imagem seguin-
te -> MS08-067: FIXED e consequentemente é mostrado que o computador está
com o Sistema Operacional limpo do vírus Conficker.
Figura 38 Fixed
Fonte: http://www.infohelp.org/wp-content/uploads/2009/04/nmappatched.gif
Esta maneira é a melhor para os Administradores de rede saberem qual Win-
dows está sem as atualizações críticas que comprometam a segurança do compu-
tador (CAIS, 2009).
2.2.4 Prevenções gerais
Pode-se prevenir das seguintes maneiras, sempre atualizando o sistema ope-
racional, instalando um bom antivírus, anti-Malware, anti-spam, anti-kelogeer, anti-
spyware e colocando um bom firewall. Cuidado antes de iniciar um pendriver, dis-
62
quete, memória flash, câmera digital. A princípio não se precisa clicar em nada, o
fato de o computador tentar abri-lo já é possível de contaminação (CERT.BR, 2009).
É recomendado executar o antivírus em todos os discos rígidos, nos pendri-
vers e nos desquites, configurando-o para verificar o Registro Mestre de Boot, que
são os setores dos discos rígidos e também verificando as memórias do computa-
dor. Normalmente o padrão dos antivírus é checar os arquivos com extensões: com,
exe, sys, dll, inf, conf e dentro outros. O antivírus deverá ser utilizado todas as vezes
que um disquete, pendriver ou câmera digital for inserida no computador, eliminado
assim todas as possíveis infecções. Downloads é outra forma de infecção, então os
antivírus atuais têm a checagem de download instantâneo, para que ele seja aberto
no computador, o antivírus vasculhará as possíveis infecções ou códigos maliciosos.
O usuário pode abrir quaisquer e-mails, mais o grande diferencial é que não deve
abrir qualquer arquivo que esteja anexo no e-mail, pois muitos destes e-mails são
phisinng (disfarçado ou também links), que poderão enganar os usuários, muitos
destes e-mails parecem amigáveis, mas se não for de uma pessoa conhecida, ja-
mais abra algo anexado (CERT.BR, 2009).
63
CONSIDERAÇÕES FINAIS
Segurança é um assunto vasto, onde não existem soluções universais, mas
sim soluções relativas a um determinado contexto. Ainda estamos longe de termos
uma rede de comunicações absolutamente segura, talvez até nunca venhamos ter,
porque sempre existirão certas vulnerabilidades e pessoas interessadas em criar
novos métodos de ataque.
No entanto podemos através do estudo apresentado finalizar, que a situação
do Conficker em um Sistema Operacional age para desabilitar a central de seguran-
ça, impedindo a atualização de segurança, para a sua propagação nos computado-
res e a internet e por fim comunicar-se com seu criador. É imprescindível que os an-
tivírus estejam com suas atualizações, pois a cada dia mais os vírus estão surgindo
de forma crescente.
É importante também que os usuários de micro computadores usem software
original para atualizações ou uma solução mais avançada usar software livres. Op-
tando por um software livre que no caso Linux ou outros, o Conficker não poderá
atuar de forma eficaz, tirando assim seu objetivo de propagar-se e comunicar-se
com seu criador.
Durante a pesquisa realizada para o desenvolvimento deste trabalho pude
observar a importância sobre a evolução do Vírus Conficker. O profissional de in-
formática precisa conhecer o histórico ou a sua evolução, isto pode ajudá-lo a detec-
tar possíveis infecções nos sistemas, descobrir as diversas maneiras de proliferação
do Conficker e os seus métodos de infecção, assim sendo desenvolverem sistemas
mais eficientes de proteção, sendo nos dias de hoje essencial para usuários domés-
ticos e empresas.
A complexidade do tema acredito ter sido a principal desvantagem encontra-
da durante a realização desta pesquisa. Explicar minuciosamente a propagação e a
atuação do Conficker e a sua forma de remoção e proteção torna-se este trabalho
64
marcante, o principal objetivo é mostrar e alertar os profissionais como se procede a
contaminação do vírus Conficker no sistema operacional Windows XP.
Com este presente estudo viso contribuir com novas pesquisas relacionada
na promoção e prevenção de segurança dos Sistemas Operacionais e o bom fun-
cionamento da rede, a partir de informações extraídas desta pesquisa onde descre-
ve a forma de contaminação e remoção do vírus, acredito que ele seja essencial na
produção de um software ou script para detectar e remover o vírus Conficker e até
mesmo a produção de um artefato para analisar o trafego da rede com objetivo de
detectar e bloquear de forma automática a ação do Conficker.
65
REFERÊNCIAS BIBLIOGRÁFICAS
BRAIN, Marshall. Como funciona o Vírus de Computador. Disponível em: <http://informatica.hsw.uol.com.br/virus1.htm>. Acesso em 19 ago. 2009.
CAIS. Como identificar e remover o malware Conficker (Downadup ou Kido). Rio de Janeiro, feb. 2009. Rede Nacional de Ensino e Pesquisa. Disponível em: <http://www.rnp.br/cais/alertas/2009/cais-alr-2009-2a.html>. Acesso em 8 ago. 2009.
CERT.BR. Cartilha de segurança para a internet. Disponível em: <http://cartilha.cert.br/>. Acesso em 1 dez 2009
COHEN, Fred. Histórico: a evolução do vírus de computador. Disponível em: <http://www.fisicastronomorais.com/pdf/virusinfor.pdf>. Acesso em 09 ago. 2009.
FRAMINGHAM. Conficker falhou, defendem especialistas. Disponível em: <http://idgnow.uol.com.br/seguranca/2009/04/01/para-especialistas-conficker-falhou/>. Acesso em 8 ago. 2009.
F-SECURE. Mapa mundial da F-Secure. Disponível em: <http://www.f-secure.com.br/security_center/virus_world_map.html>. Acesso em 8 ago. 2009.
GOODMAN. Paul Etal. Techmalogy and organization. 1. ed. Jossy-Bass Publish-ers: San Francisco, 1990. 21 p.
GUDGION, Kevin. Finding W32/Conficker.worm. McAfee Avert Labs. Canada, ago. 2009. Disponível em: <http://download.nai.com/products/mcafee-avert/documents/combating_w32_conficker_worm.pdf>. Acesso em 19 ago. 2009.
INFOHELP. Conficker – Guia definitivo de remoção. Disponível em: <http://www.infohelp.org/thales-laray/conficker-guia-definitivo-de-remocao/>. Acesso em 1 dez 2009.
INFOWESTER. Firewall: conceitos e tipos. Disponível em: <http://www.infowester.com/firewall.php>. Acesso em 8 ago. 2009.
JAHANKHANI, Hamid; HESSAMI, Ali G; HSU, Feng. Global Security, Safety, and Sustainability. Communications in Computer and Information Science. 5. ed. Chennai: Springer, 2009. 194 p. ISSN 1865-0929.
MARCELO, Vicente. Segurança de sistemas, Ênfase em rede de computadores, 2002. Anais. Belo Horizonte: UFMG, 1995. 655 p.
MÁRLEO. As pessoas tem várias dúvidas sobre atualização de antivírus. Neste artigo, várias dessas dúvidas serão sanadas. Disponível em: <http://www.plusgsm.com.br/forums/showthread.php?t=111065>. Acesso em 1 dez 2009.
66
MICROSOFT. Boletim de Segurança da Microsoft MS08-067 – Crítica. Disponível em: <http://www.microsoft.com/brasil/technet/security/bulletin/MS08-067.mspx>. A-cesso em 2 dez. 2009.
MICROSOFT. O que são vírus, worms e cavalos de Tróia? Disponível em: <http://www.microsoft.com/brasil/athome/security/viruses/virus101.mspx>. Acesso em 2 dez. 2009.
MICROSOFT. Proteja-se contra o worm de computador Conficker. Disponível em: <http://www.microsoft.com/brasil/protect/computer/viruses/worms/conficker.mspx>. Acesso em 2 dez. 2009.
MICROSOFT. Uma descrição do Svchost.exe no Windows XP Professional Edi-tion. Disponível em: <http://support.microsoft.com/kb/314056/pt-br>. Acesso em 2 dez. 2009.
MICROSOFT. Usando a Central de Segurança do Windows. Disponível em: <http://technet.microsoft.com/pt-br/library/cc721871%28WS.10%29.aspx>. Acesso em 2 dez. 2009.
MICROSOFT. Visão geral sobre o Agendador de Tarefas. Disponível em:< http://windows.microsoft.com/pt-BR/windows-vista/Using-Windows-Security-Center>. Acesso em 2 dez. 2009.
MICROSOFT. Windows Update. Disponível em: <http://www.microsoft.com/brasil/windows/products/windowsvista/features/details/windowsupdate.mspx>. Acesso em 9 ago. 2009.
ORRICO, J. H. Pirataria de Software. 1. ed. São Paulo: MM Livros, 2004. (Informá-tica). ISBN 89788590424222.
PORRAS, Phillip; SAIDI, Hassen; YEGNESWARAN, Vinod. SRI International. USA, feb. 2009. Seção An Analysis of Conficker's Logic and Rendezvous Points. Dis-ponível em: <http://mtc.sri.com/Conficker/>. Acesso em 11 ago. 2009.
ROHR, Altieres. Perigos virtuais de todo dia. Disponível em: <http://linoresende.jor.br/perigos-virtuais-de-todo-dia/>. Acesso em 06 ago. 2009.
SCHMIDT, Hannes. How to disable USB sticks and limit access to USB storage devices on Windows systems. Disponível em: <http://diaryproducts.net/about/operating_systems/windows/disable_usb_sticks>. Acesso em 2 dez. 2009.
ULBRICH, Henrique Cesar; DELLA VALLE, James. Universidade H4CK3R, des-vende todos os segredos do submundo dos hackers. 5. ed. São Paulo: Digerati Bo-oks, 2005. 319 p. ISBN 8589535-01-0.