Atenção ao vírus Conficker.C

O PandaLabs, o laboratório anti-malware da Panda Security emitiu um alerta para todos os utilizadores, no sentido de verificarem a existência do worm Conficker nos seus computadores, antecipando um eventual ataque em larga escala que poderá depois de 1 de Abril, utilizando este malware.

O Conficker propaga-se explorando uma vulnerabilidade no serviço de servidor do Sistema Operativo Windows (descrita pela Microsoft no boletim MS08-067). Utiliza pacotes RPC especialmente modificados, direccionados a outras máquinas. Os computadores vulneráveis irão então descarregar uma cópia do worm. RPC é uma abreviatura para “Remote Procedure Call”, que designa um protocolo que permite a injecção remota de código para outros computadores a partir de uma rede, sendo este o método utilizado pelos criadores deste código malicioso para infectar remotamente outros sistemas.


Adicionalmente, Conficker propaga-se através de dispositivos de memória USB como discos externos ou leitores de MP3.

O PandaLabs detectou já três variantes deste código malicioso (Conficker A, B e C). As primeiras infecções surgiram no final do ano passado, embora só nos dois primeiros meses de 2009 é que tenha sido observado um aumento considerável da sua actividade. Em Janeiro, o PandaLabs estimou que cerca de 6% dos computadores a nível mundial pudessem estar afectados com uma das variantes conhecidas. A variante C deste malware têm oculta no seu código uma instrução específica, que será executada no primeiro dia de Abril.

Os computadores infectados com o Conficker.C ligam-se entre si através a Internet (numa denominada botnet) e permitem a execução remota de todos os tipos de comandos, como enviar spam, furtar os dados pessoais dos utilizadores ou lançar ataques de negação de serviços. Podem por isso ser actualizados remotamente com novas funcionalidades ou instruções.

No próximo dia 1 de Abril, quarta-feira, o malware tem instruções para fazer o download de uma actualização, cujo conteúdo ainda é desconhecido. Os contactos entre os computadores afectados com o Conficker e destes com os criadores do código malicioso são efectuados recorrendo a uma técnica denominada "DNS Fast-Flux", em que são gerados dinamicamente múltiplos endereços que mascaram e redireccionam o tráfego malicioso até ao seu destino, o que dificulta a detecção das fontes de propagação e o estabelecimento de políticas por parte dos ISPs para o seu bloqueio. A variante C do Conficker está preparada para gerar 50 mil URLs diariamente, garantindo desta forma o máximo desempenho da botnet. Uma vez que a detecção e bloqueio da comunicação é praticamente impossível, e uma vez que não se conhecem as implicações da actualização que irá ser realizada pelo malware, resta aos utilizadores a neutralização da ameaça na origem.

 Os utilizadores devem igualmente preocupar-se com a propagação de outras variantes deste código malicioso: todas permitem a execução de comandos remotos e de actualizações, pelo que qualquer computador afectado poderá ser actualizado para a nova variante do Conficker, participando assim neste ataque.

Os produtos da Panda Security detectam e bloqueiam proactivamente todas as variantes do Conficker, sem necessidade da actualização do ficheiro de assinaturas, através das Tecnologias TruPrevent. Para os restantes utilizadores, a Panda Security recomenda:

· Instalação de um bom pacote de segurança, nomeadamente com tecnologias proactivas que detectam vírus desconhecidos e protecção a partir da Internet.

· Manter a solução de segurança actualizada, verificando sempre se o programa está configurado para actualizar-se automaticamente.

· Manter a protecção em tempo real do antivírus sempre activada.

· Os administradores de sistemas empresariais devem verificar a existência nas redes de máquinas com vulnerabilidades: Os servidores e estações de trabalho Windows devem ser actualizados utilizando as informações presentes no Boletim de Segurança da Microsoft, disponível em http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

· A execução automática de dispositivos USB deve estar desactivada. Para tal, a Panda Security criou um utilitário gratuito, denominado Panda USB Vaccine. Além de permite desactivar por completo a funcionalidade de AutoRun no Windows, permite vacinar individualmente drives externas USB (pen drives, discos rígidos, leitores multimédia, etc.) impedindo que possa ser executado a partir destas qualquer conteúdo malicioso de forma automática. O utilitário pode ser descarregado gratuitamente em http://www.pandasecurity.com/homeusers/downloads/usbvaccine/

· Efectuar backups regulares do sistema e dos ficheiros mais importantes

· Não abrir e-mails suspeitos, e evitar de uma forma geral abrir ficheiros desconhecidos ou cuja proveniência não possa ser verificada.

· Verificar a segurança do sistema, obtendo uma segunda opinião sobre a protecção do computador.

Visite o site http://www.activescan.com e utilize as tecnologias da Panda Security para verificar se possui malware que passe despercebido à sua solução de segurança.