1
UNIRONDON CENTRO UNIVERSITÁRIO
MARCOS VINICIUS GOULART
ATUAÇÃO DO VÍRUS CONFICKER
Cuiabá 2009.
2 MARCOS VINICIUS GOULART
ATUAÇÃO DO VÍRUS CONFICKER
Trabalho de conclusão de curso apresentado como parte das atividades para obtenção do título de Bacharel em Ciência da Computação, do curso de Ciência da Computação da Faculdade do curso de Ciência da Computação da Fundação UNIRONDON área de concentração em informática.
Orientador: Prof°André Valente do Couto
Cuiabá 2009
3 MARCOS VINICIUS GOULART
ATUAÇÃO DO VÍRUS CONFICKER
Trabalho de conclusão de curso apresentado como parte das atividades para obtenção do título de Bacharel em Ciência da Computação, do curso de Ciência da Computação da Faculdade do curso de Ciência da Computação da Fundação UNIRONDON área de concentração em informática
Aprovado em 04 de dezembro de 2009.
BANCA EXAMINADORA
__________________________________________ Prof. André Couto Valente Unirondon Centro Universitário
__________________________________________ Prof. Andersown Becher Paes de Barros Unirondon Centro Universitário
__________________________________________ Prof. Reginaldo Hugo Szezupior dos Santos Unirondon Centro Universitário
4
Dedico este trabalho aqueles que, direta ou indiretamente, colaboraram oferecendo sugestões, fazendo leitura ou discutindo particularidades.
5
Agradeço a todos os que me ajudaram na elaboração deste trabalho especialmente o meu orientador: André Valente do Couto e a professora - Renata Bortoluz que não mediram esforços. E aos meus familiares que com sabedoria me conduziram no caminho da vida.
6
Inclina o ouvido, e ouve as palavras dos sábios, e aplica o teu coração ao meu conhecimento. Proverbios 22:11
7 RESUMO
O crescente número de contaminações de vírus de computador na atual década tem levado várias empresas na área de segurança da informação a se tornar mais especializadas nestes tipos de pragas e variantes, que vem se alastrando cada vez em uma velocidade crescente, destruindo e roubando informações, trazendo milhões de reais em prejuízo para as empresas e computadores pessoais. O grande aumento vem assustando de maneira grandiosa, com base na atual década a 1.650.277 milhões de vírus conhecidos ou assinaturas de vírus, perfazendo que os vírus feitos pelos os Hackers têm uma abrangência muito diferente daquela época. Os Hackers são pessoas que atacam outras máquinas com fins criminosos com um objetivo traçado: capturar senhas bancárias, números de conta e informações privilegiadas que lhes despertem a atenção. As ameaças da internet geraram prejuízos de US$ 13,3 bilhões às empresas em todo o mundo, a pesquisa inclui os vírus spyware, adware, vírus de banker, limpezas feitas pelos antivírus, baixa produtividade por causa de sistema lento e a quantidade de tempo para a restauração do sistema contaminado. Prevendo isso pode-se detalhar as situações possíveis dos computadores da atual década e detalhar um dos vírus mais famosos de devastadores desta época, levantando as soluções possíveis para a prevenção contra os vírus de computador e demais pragas. Atuando com diferentes antivírus para fazer o scan nos computadores e das redes. O detalhamento será da seguinte forma, atividade na rede, conexões de rede, estatísticas de objetos infectados e limpos, contaminação de documentos, e-mail, acesso a web, programas limpos, programas infectados, programas perigosos e programas maliciosos. Palavras-chave: Vírus de computador, keylloger, spyware, tronjans, antivírus.
8 ABSTRACT
The increasing number of contaminations of virus of computer in the current decade has led varies companies in the area of security of the information if to become more specialized in these types of plagues and variants, that come if spreading each time in increasing speed, destroying and stealing information, bringing personal Real millions in damage for companies and computers. The great increase comes scaring in huge way, on the basis of the current decade has 1.650.277 million known viruses or assi of virus, perfazendo that the viruses made for the Hackers have a very different abragencia of that time. Hackers is people who attack other machines with criminal ends with a traced objective: to capture banking passwords, numbers of account and privileged information that them despertem the attention. The threats of the Internet had generated US$ damages 13,3 billion to the companies in the whole world, the research include the viruses spyware, adware, virus of banker, cleannesses made for the antiviruses, low productivity because of slow system and the amount of time for the restoration of the contaminated system. Foreseeing this we will go to detail the possible situções of the computers of the current decade and to detail one of the viruses fomosos of devastadores of this time, being raised the possible solutions for the prevention against the viruses of computer and too much plagues. We will go to use different antiviruses for the scaniamento of the computers and the nets. The detailing will be of the following form, activity in the net, connections of net, infectados and clean object statisticians, document contamination, email, clean access web, programs, infectados programs, dangerous programs and malicious programs. Keywords: computer viruses, keylloger, spyware, tronjans, antivirus.
9 LISTA DE ILUSTRAÇÕES
Figura 1 Novas assisnaturas de códigos maliciosos ................................................ 20 Figura 2 Infecções no mundo .................................................................................. 20 Figura 3 Abrindo arquivos no USB .......................................................................... 24 Figura 4 Generalização do Conficker ...................................................................... 25 Figura 7 svchost.exe ............................................................................................... 29 Figura 8 Autorun.inf infectado ................................................................................. 30 Figura 9 Arquivo jwgkvsq.vmx ................................................................................. 31 Figura 10 Permissão da chave de registro .............................................................. 32 Figura 11 Código de geração de domínio ............................................................... 33 Figura 12 Aumento de trafego ................................................................................. 34 Figura 13 Acessando sites bloqueados pelo Conficker ........................................... 35 Figura 15 Serviços desabilitados pelo Conficker..................................................... 37 Figura 16 Atualização Automática ........................................................................... 38 Figura 17 Desabilitando o Windows Defender ........................................................ 39 Figura 18 Central de segurança desabilitado pelo Conficker .................................. 40 Figura 19 Tarefa agendada pelo Conficker ............................................................. 41 Figura 20 Abrindo uma tarefa agendada pelo vírus ................................................ 42 Figura 21 Infecção via rede P2P ............................................................................. 43 Figura 22 Abertura de arquivo duplicado................................................................. 45 Figura 23 Abrir pasta certa ..................................................................................... 46 Figura 24 Alteração de registro de USB .................................................................. 47 Figura 25 Antivírus detectando Conficker................................................................. 47 Figura 26 Windows Update ..................................................................................... 49 Figura 27 Windows Update diferente ...................................................................... 50 Figura 28 Avast ....................................................................................................... 51 Figura 29 AVG ......................................................................................................... 51 Figura 30 AVIRA ....................................................................................................... 52 Figura 31 Kasperky ................................................................................................. 53 Figura 32 NOD32 .................................................................................................... 54 Figura 33 Aumento de trafego na rede..................................................................... 56 Figura 34 Inserir sites bloqueados .......................................................................... 57 Figura 36 Infected ................................................................................................... 59 Figura 37 Vulnerable ............................................................................................... 60 Figura 38 Fixed ....................................................................................................... 61
10 SUMÁRIO
Introdução ................................................................................................................ 11 1 Os vírus de computador .................................................................................... 13 1.1
A tecnologia ................................................................................................................ 13
1.1.1 Perigos da tecnologia ................................................................................................................... 14
1.2
O que é um vírus? ...................................................................................................... 15
1.2.1 História dos Vírus ......................................................................................................................... 15 1.2.2 Tipos de vírus ............................................................................................................................... 19 1.2.3 Estatísticas de vírus ..................................................................................................................... 19 1.2.4 Vírus a ser estudado .................................................................................................................... 21
2
O Conficker ..................................................................................................... 22
2.1
Caracteristicas ............................................................................................................ 23
2.1.1 Diretórios ...................................................................................................................................... 26 2.1.2 Contaminação do registro ............................................................................................................ 27 2.1.3 Infecção USB ............................................................................................................................... 30 2.1.4 Infecção via internet ..................................................................................................................... 31 2.1.5 Sintomas da infecção da rede ...................................................................................................... 34 2.1.6 Ativação do agendador de tarefas ............................................................................................... 40 2.1.7 Infecção via P2P .......................................................................................................................... 42
2.2
Remoção e prevenção................................................................................................ 44
2.2.1 Atualização Crítica ....................................................................................................................... 48 2.2.2 Firewall ......................................................................................................................................... 54 2.2.3 Administradores de rede .............................................................................................................. 58 2.2.4 Prevenções gerais........................................................................................................................ 61
Considerações finais .............................................................................................. 63 Referências bibliográficas...................................................................................... 65
11 INTRODUÇÃO
Considerando que os computadores das redes mundiais não estão 100% seguros, necessitam de uma segurança muito maior por necessidade dos usuários não se darem conta das vulnerabilidades que se encontram nos sistemas que estão usando. Usuários dos computadores guardam arquivos importantes, digitam senhas de diversos tipos, como senhas de emails, sistemas para acesso restrito, comunidades, acessam bancos e dentro outras informações preciosas, estando assim correndo vários perigos como perda de dados, roubo de dados, lentidão nos sistemas e o corrompimento das informações; através deste estudo, irei conceder uma maior segurança de informação dos dados e dos sistemas, protegendo conforme concepções apresentadas por nossos testes, com vírus mais atual e famoso desta época, dissecando-o e mostrado suas formas de atuações, seu código fonte e o bloqueio destes vírus. Com estes dados pode-se elaborar um estudo detalhado, produzindo estatísticas de vírus e suas variantes. Tendo em mãos estes dados, pode-se classificar os programas maliciosos (Malware) que são criados para provocar danos ao computador e ao seu utilizador: por exemplo, para roubar, bloquear, alterar ou apagar informação ou para perturbar o funcionamento de um computador ou de uma rede de computadores e os programas potencialmente indesejados, ao contrário dos programas maliciosos, que não se destinam unicamente a provocar danos, mas podem ajudar a penetrar no sistema de segurança de um computador, para produzir detalhadamente às formas de contaminações segundo o estudo e também as melhores proteções para estes tipos de contaminações, evitando assim as contaminações destas pragas virtuais. Com o conceito de uma cultura de atualização de software, práticas bem elaboradas de proteção em tempo real (análise heurística), utilização de software livre aonde não existe estes tipos de contaminações, limpeza de arquivos aonde se pode encontrar tais pragas virtuais, criação e recuperação de disco, monitoramento de rede em tempo real para que possam encontrar anormalidades, bloqueio de arquivo auto executáveis ou autorun e correção de falhas do sistema com o conceito de que
12 sistemas atualizados estão muito mais seguros do que sistemas que não atualizam ou corrigem suas falhas. Nesse contexto, inserem-se a importância de estudos relativos ao nível de contaminações propostas deste vírus atual que tem infectado milhões de computadores apresentando seus efeitos no mesmo dia. O presente trabalho teve como objetivo avaliar o nível de proteção e perdas provocadas por vírus no século atual. Esta pesquisa pretende analisar a contaminação do vírus conficker nos sistemas oepracionais Windows XP. Indentificar a propagação do vírus conficker nos Sistemas Operacionais do Windows XP. Investigar o comprometimento do Sistema Operacional na apresentação do Conficker. Investigar as formas de contaminação do Conficker e descrever a forma de remoção do Conficker.
13 1
OS VÍRUS DE COMPUTADOR
A sabedoria é a coisa principal; adquire pois a sabedoria, emprega tudo o que possuis na aquisição de entendimento. Provérbios 4:7
1.1
A tecnologia Para compreender os aspectos referentes à tecnologia, o primeiro passo consis-
te em discutir o que é tecnologia. Para Goodman (1990), além de presente em todas as formas de organização, a tecnologia é também uma potente força. Ela pode estender as capacitações humanas. A revolução industrial por exemplo, utilizou tecnologia para estender a capacidade física de trabalho. De forma análoga, a revolução da informática está estendendo as nossas capacitações mentais e redistribuindo o tempo que gastamos nas diversas atividades. Segundo ainda o mesmo autor, a tecnologia é dinâmica e evolui rapidamente. O seu desenvolvimento está longe de terminar. O rápido desenvolvimento das novas formas de tecnologia dificultam identificar como as novas formas de organização aparecerão no futuro. Para Orrico (2004) as tecnologias estão se multiplicando muito rápido, mas algumas destas são desenvolvidas não para nos auxiliar na melhoria, mas sim muitas vezes são ameaçadoras o suficiente e poderosa para a destruição. Estes são conhecidas como vírus de computador. O autor ainda faz uma afirmação que somente as pessoas com conhecimento avançado de programação criavam vírus, devido ao nível de linguagem de que era requisitado e uma abrangência de conhecimento do programador que estava em questão. Hoje é bem diferente, pois já existem vários programas que criam vírus ao gosto dos usuários, e também empresas fictícias que cobram um serviço por determinação do cliente, a exemplo de um roubo de banco de dados.
14 Por estas questões, ficar atualizados, atentos e preparados é a melhor opção para combater e identificar os vírus infestados em nossos computadores, para que não passe por estes maus percalços.
1.1.1 Perigos da tecnologia Os problemas que estão cada vez mais recorrentes nas pessoas que desfrutam do uso dos computadores é a falta de segurança, a tecnologia está tomando mais e mais espaço na vida de cada um. A cada dia o número de ações maliciosas e enganadoras aumenta, sem muitas vezes nos dar-se conta que existem espiões dentro de nossos computadores, como Hackers, crackers e outros que estão tentando ganhar acesso aos nossos dados, utilizando-os em seu proveito e nos causando problemas. Para aqueles que vão, além disto, pode-se dizer que nossas vidas fazem parte de um Big Brother, sendo verificadas em todos os dias por Hackers, que desenvolveram vírus que capturam todos os nossos dados (ROHR, 2009). Conforme ainda o mesmo autor, se de um lado há a ameaça pessoal por falta de segurança, de outro pode-se conviver com o crescente número de pragas virtuais. Como a cada dia no mundo existem assaltos, assassinatos, roubos e dentro outros, no mundo virtual não seria diferente, mas com um pouco mais de criatividade. Ter todos os cuidados, evitando as infecções, será uma ótima escolha. Mas tudo se pode fazer não é suficiente e sempre há a possibilidade de um desses organismos virtuais penetrarem em uma máquina, causando problema, pois as tecnologias são feitas pelos próprios homens, sempre estajam sujeitas às vulnerabilidades, por isso não existe um sistema 100% confiável. Hoje, para cada medida de defesa há uma infinidade de ataques que ao menos nunca ainda nunca se viu ou se tem pouco conhecimento. E tanto é assim que as empresas dedicadas à segurança estão sempre um passo atrás de quem, do outro lado, cuida do desenvolvimento deste tipo de ação, seja em relação a vírus ou a outros programas mal intencionados, a sempre uma mente brilhante trabalhando para a destruição de informações, procurando sempre uma brecha para entrar (ROHR, 2009).
15 1.2
O que é um vírus? De acordo com o pesquisador Cohen (1983) Vírus é um tipo de programa. Exis-
tem suas diferenças na codificação, mas, no entanto é executado da mesma forma que um programa comum, a grande diferença está no que o programa faz. O vírus tem seu código perigoso aos sistemas operacionais, aos drives, programas e documentos que poderão ser apagados ou danificados. Um vírus ou praga virtual é um código de máquina que se anexa a um programa ou arquivo para poder se espalhar entre os computadores da mesma rede, infectando-os à medida que se é executado. Ele infecta enquanto se vai para outros computadores ou arquivos. Os vírus podem danificar seu software, hardware e arquivos (MICROSOFT, 2009)¹. “Vírus, WORMs e cavalos de Tróia são programas mal-intencionados que podem causar danos ao seu computador e às informações armazenadas nele. Também podem deixar a Internet mais lenta e usar o seu computador para espalharem-se entre os seus amigos, familiares, colegas de trabalho e o restante da Web. A boa notícia é que, com prevenção e algum bom senso, você terá menos probabilidade de ser vítima dessas ameaças.” (Microsoft, 1 2009) .
De acordo com Orrico (2004, p. 51) os códigos maliciosos são gerados como executáveis tanto em pendrivers, browsers e nos sistemas operacionais, podem ser replicados e executados. Depois de executados ficam na memória, procurando todas as unidades disponíveis tanto no computador, na rede ou internet para ser replicados e executados pelas possíveis vítimas.
1.2.1 História dos Vírus Os tradicionais vírus de computador foram amplamente percebidos pela primeira vez no final da década de 80, e seu surgimento deve-se a vários fatores. O primeiro fator foi à proliferação dos computadores pessoais. Antes da década de 80 os computadores residenciais praticamente não existiam ou eram simples brinquedos. Computadores "de fato" eram raros e tinham o seu uso restrito aos "experts". Durante a década de 80 os computadores começaram a se difundir nos escritórios e nas casas devido à popularidade do IBM PC (lançado em 1982) e do Apple Macintosh 1
MICROSOFT. O que são vírus, worms e cavalos de Tróia?. Disponível em:
. Acesso em 2 dez. 2009.
16 (lançado em 1984). No final da década de 80, os PCs já estavam bem difundidos em escritórios, residências e campus universitários (BRAIN, 2009). Conforme a pesquisa de Cohen (1984) em seu paper “Experiments with Computer Viruses” onde nesse documento ele relata e também batiza os programas de códigos nocivos como “Vírus de Computador”. Neste estudo ele mostra a seguinte evolução do vírus: 1986 - PC Cyborg Trojan - Também conhecido como “Aids Info Disk”, foi o primeiro código malicioso com um objetivo financeiro claro. Ele “seqüestrava” o computador da vítima e impedia o acesso aos arquivos, renomeando-os. Para tê-los de volta, o vírus pedia que US$ 378 fossem enviados a um endereço no Panamá. 1987 – Surge o primeiro Vírus de Computador escrito por dois irmãos: Basit e Amjad que foi batizado como ‘Brain’, apesar de ser conhecido também como: Lahore, Brain-a, Pakistani, Pakistani Brain, e UIU. O Vírus Brain documentado como ‘Vírus de Boot’, infectava o setor de inicialização do disco rígido, e sua propagação era através de um disquete que ocupava 3k, quando o boot ocorria, ele se transferia para o endereço da memória “0000:7C00h” da BIOS que o automaticamente o executava. 1988 – Surge o primeiro Antivírus, por Denny Yanuar Ramdhani em Bandung, Indonésia. O primeiro Antivírus a imunizar sistema contra o vírus Brain, onde ele extrai as entradas do vírus do computador em seguida imunizava o sistema contra outros ataques da mesma praga 1989 – Aparece o Dark Avenger, o qual vem contaminando rapidamente os computadores, mas o estrago é bem lento, permitindo que o vírus passe despercebido. A IBM fornece o primeiro antivírus comercial. No início do ano de 1989, apenas 9% das empresas pesquisadas tinha um vírus. No final do ano, esse número veio para 63%. 1990 - A família Chameleon é o começo de uma história de vírus polimórficos modificava a si mesma, assim que se instala.
17 1992 – Michelangelo, o primeiro vírus a aparecer na mídia. É programado para sobregravar partes das unidades de disco rígido criando pastas e arquivos com conteúdos falsos em 6 de março, dia do nascimento do artista da Renascença. As vendas de software antivírus subiram rapidamente. 1994 – Nome do vírus Pathogen, feito na Inglaterra, autor do vírus chamado Scotland Yard, foi condenado a 18 meses de prisão. É a primeira vez que o autor de um vírus é processado por disseminar código destruidor. 1995 – Nome do vírus Concept, o primeiro vírus de macro. Escrito em linguagem Word Basic da Microsoft, pode ser executado em qualquer plataforma com Word - PC ou Macintosh. O Concept se espalha facilmente, pois se replicam através do setor de boot, espalhando por todos os arquivos executáveis. 1998 - Back Orifice o primeiro vírus que permitiu que alguém, de forma remota, controlasse a máquina em que estava instalado. Uma vez instalado, involuntariamente, em um computador, permite que qualquer usuário de posse do programa BO Client possa invadir aquela máquina sem o dono saber, enquanto estiver conectado à net e possa fazer qualquer coisa que o dono possa fazer localmente. 1999 – O vírus Chernobyl, apaga o acesso a unidade de disco e não deixa o usuário ter acesso ao sistema. Seu aparecimento deu-se em abril. Sua contaminação foi bem pouco nos Estados Unidos, mas provocou danos difundidos no exterior. A China sofreu um prejuízo de mais de US$ 291 milhões. Turquia e Coréia do Sul foram duramente atingidas. 2000 – O vírus LoveLetter, liberado nas Filipinas, varre a Europa e os Estados Unidos em seis horas. Infecta cerca de 2,5 milhões a três milhões de máquinas. Causou danos estimados em US$ 8,7 bilhões.
18 2001 – A “moda” são os códigos nocivos do tipo WORM (proliferam-se por páginas da Internet e principalmente por e-mail). Nome de um deles é o VBSWORMs Generator, que foi desenvolvido por um programador argentino de apenas 18 anos. 2003 - Hacker Defender o objetivo era o de Defender o vírus que já havia contaminado o computador. Ele escondia pastas de arquivo e, de acordo com seu criador, quis mostrar as fragilidades dos antivírus. Você não pode ver o Hacker Defender rodando através do Gerenciador de Tarefas, tão pouco no registro do Windows. Ele faz isso de tal forma que nem mesmo um firewall poderá identificar a porta em que ele roda. 2005 - Aurora uma tipo de programa espião que monitorava as propagandas nas páginas de internet vista de um determinado computador. E ainda tentava tirar os concorrentes. Acabou virando um caso de Justiça e sua criadora foi fechada. 2007 – Houve muitas ocorrências de vírus no Orkut que é capaz de enviar scraps (recados) automaticamente para todos os contatos da vítima na rede social, além de roubar senhas e contas bancárias de um micro infectado através da captura de teclas e cliques. Apesar de que aqueles que receberem o recado precisam clicar em um link para se infectar, a relação de confiança existente entre os amigos aumenta muito a possibilidade de o usuário clicar sem desconfiar de que o link leva para um WORM. Ao clicar no link, um arquivo bem pequeno é baixado para o computador do usuário. Ele se encarrega de baixar e instalar o restante das partes da praga, que enviará a mensagem para todos os contatos do Orkut. Além de simplesmente se espalhar usando a rede do Orkut, o vírus também rouba senhas de banco, em outras palavras, é um clássico Banker. 2008 - Conficker infectou milhões de computadores, inclusive através de pen drives e obrigou a Microsoft a mudar o sistema de inicialização do Windows. De difícil desativação. O invasor age de
19 duas formas. Primeiro, mantém comunicação peer-to-peer (P2P) entre as máquinas infectadas, que podem enviar e receber comandos. Além disso, geram um estoque de 50 mil nomes de domínio todos os dias. Desses, tenta baixar comandos de 500 desses servidores, escolhidos aleatoriamente. 2009 - Psyb0t explora senhas fracas e em vulnerabilidades existentes em firmwares desatualizados para infectar modems ADSL e roteadores. É a mais nova praga na praça.
1.2.2 Tipos de vírus As dificuldades que quase todos os usuários têm é diferenciar um vírus de computador por outros, que com certeza é pela falta de conhecimento de como classificar essas variações de programas maliciosos que geram grandes confusões que andam ocorrendo em muitos destes casos (ULBRICH; DELLA VALLE, 2005). Como se sabe que existe uma grande variedade de pragas virtuais (pode-se chama-lo de praga, pois depois da contaminação o computador dificilmente se tornar o mesmo, devido a modificações dos ficheiros, e a dificuldade de restauração dos ficheiros). A definição do que a praga é ou não é depende de suas ações e formas de contaminação e proliferação. Mesmo havendo essa diferenciação, é comum dar o nome dos programas maliciosos ou vírus ser generalizados todos os tipos de pragas (ULBRICH; DELLA VALLE, 2005).
1.2.3 Estatísticas de vírus Segundo Ulbrich e Della Valle (2005, p.19) a figura abaixo mostra o crescimento dos últimos anos, devido os Hackers não buscam mais a fama e destruição, mas sim agora eles buscam a riqueza encontrada nos bits como exemplo as senhas de banco, email, sistemas e as informações confidenciais.
20
Figura 1 Novas assisnaturas de códigos maliciosos Fonte: Symantec Corporation, 2009
Segundo a F-Secure (2009), os Malwares como são chamados os vírus de computadores, se espalham no globo conforme abaixo, as cores mais fortes são os países que contem mais contaminações de vírus de computador.
Figura 2 Infecções no mundo Fonte: F-Secure, 2009
21 1.2.4 Vírus a ser estudado No capítulo 3 do Malware (vírus de computador) mais famoso do mundo que infectou mais de 15 milhões de computadores (a maior infecção de todos os tempos), este Malware já infiltrou no governo americano, nas redes públicas, nas redes críticas como os controladores de vôo da frança e em milhões de computadores pessoais. Com estes efeitos desastrosos foi feito um lance pela Microsoft de 250.000 dólares por informações que levem à prisão e condenação dos responsáveis por lançar ilegalmente o código malicioso do vírus Conficker na Internet para quem o denunciasse, sendo estimado que já realizasse um prejuízo de mais de 9,1 bilhões, com isso pode-se apresentar seus métodos de contaminação, suas ações, como o vírus toma o controle do computador, o que é capaz de fazer, suas variações e como se proteger. O vírus a ser estudo será o Conficker intitulado como WORM (é um software auto-replicante, parecido a um vírus, o WORM é um software completo e não precisa de outro software para se propagar) de computador que pode infectar seu computador e se espalhar para outros computadores na rede automaticamente, sem interação humana (JAHANKHANI; HESSAMI; HSU, 2009 p. 194). Para Framingham (2009) Conficker é tão interessante que foi programado para se ativar em um dia, para começar a se comunicar com seu criador que será no dia 1 de abril, para se ter uma noção do tanto que é difícil descobrir seu criador, o Conficker gera em torno de cinqüenta mil domínios aleatórios sendo que alguns é o verdadeiro domínio que ele se comunicado recebendo os comandos do seu criador e assim fazendo seus ataques e baixando mais vírus para os computadores, sendo assim com essa grande variedade de domínios as grandes operadoras de internet do mundo fica quase impossível rastrearem sua comunicação e mais interessante é que muitos continuaram sendo infectados se não fizerem suas atualizações do Windows Update, para muitos fazerem estas atualizações necessita de ter o software original, que no caso do Brasil a uma grande escala de software pirata e não são originais.
22
2
O CONFICKER
O Conficker tem Implacavelmente infectado quase todos os Windows XP e Windows 2000 devido à maioria dos Windows não atualizarem devido ao alto grau de pirataria. A praga já se disseminou para mais de 15 milhões de máquinas pelo mundo, já que este número avassalador é bem convervador sendo estes espalhados por 206 países. O Conficker variante A infectou 4.7 milhões de endereços de IP, e o variante B afetou 6.7 milhões de endereço de IP. Veja no apêndice o nível de contaminação de cada País e a contaminação em cada browser (PORRAS, et. al. 2009). Na análise feita pela SRI Internacional (2008) encontrou-se que os dois WORMs são comparáveis no tamanho e o tamanho do Conficker A e B são de 1M e 3M hosts, respectivamente. O número que a mídia anda retratando é bem provável que esteja certíssima. Meados de 2008 têm se visto Hacker se aproveitarem destas brechas e oferecerem ferramentas que apresentavam a remoção do vírus Conficker que na verdade era ferramenta para abrirem o computador para ser mais hospedeiros de vírus (PORRAS, et. al. 2009). Os clientes mais adiantados da exploração feita pelo Conficker surgiram em setembro de 2008. Os Hackers chineses foram os primeiros a produzirem um pacote comercial destas falhas para serem exploradas por apenas $37.80. A façanha empregada é chamada de Remote Procedure Call 2 (RPC) uma técnica que os clientes têm acesso a máquina infectada, o RPC usa a porta 445/TCP, que pode fazer com que o Windows 200, XP, 2003 e Vista sejam os hospedeiros ou servidores gerando um código arbitrário segmentado e sem nenhuma autenticação. A exploração da fa2
RPC é uma tecnologia popular para programar-la do modelo cliente-servidor de computação distribuída. Uma chamada de procedimento remoto é iniciada pelo cliente enviando uma mensagem para um servidor remoto para executar um procedimento específico. Uma resposta é retornada ao cliente.
23 lha pode afetar sistemas como firewalls ativados, que operam com impressões e compartilhamento de arquivo na rede. O patch, foi liberado pela Microsoft em 23 de outubro. Não obstante, quase um mês mais tarde, no meado de Novembro, o Conficker utiliza esta mesma falha corrigida pela Microsoft para fazer uma varredura no mundo inteiro e contaminar milhões de computadores (PORRAS, et. al. 2009). Ao perguntar-se se o Conficker tem sido capaz de se proliferar de forma tão extensa? É interessante observar que é por falta dos utilizadores do Windows para atualizar o patch (MS08-067) disponíveis pela Microsoft no Windows Upadate e ter as melhores seguranças, e mesmo sim o usuário o deixa . A maioria dos usuários ignoram as atualizações de segurança disponibilizado pela Microsoft, alguns alegam que o sistema se torna mais lerdo após a atualização. Porém a grande contaminação nos computadores é devido a países de baixa renda e grande quantidade de pirataria, a maioria dos sistemas operacionais no caso Windows é pirateado, conseqüentemente não oferecem a opção de atualização (PORRAS, et. al. 2009).
2.1
Caracteristicas Até o momento, pesquisadores de segurança descobriram as seguintes varian-
tes do WORM em estado original. (PORRAS, et. al. 2009). a)
Win32/Conficker.Win32/Conficker.A foi relatado à Microsoft em 21 de novembro de 2008.
b)
Win32/Conficker.B Win32/Conficker.B foi relatado à Microsoft em 29 de dezembro de 2008.
c)
Win32/Conficker.C Win32/Conficker.C foi relatado à Microsoft em 20 de fevereiro de 2009.
d)
Win32/Conficker.D Win32/Conficker.D foi relatado à Microsoft em 4 de março de 2009.
e)
Win32/Conficker.E Win32/Conficker.E foi relatado à Microsoft em 8 de abril de 2009.
As suas principais propagações são através da Internet, da rede interna e também dos USB. Hoje atualmente sua maior propagação está sendo pelos USB, devi-
24 do a grandes operadoras terem bloqueados seus domínios de propagação e pela facilidade da mobilidade que o USB traz no seu manuseio de computador para computador. Já se sabe que o Conficker pode gerá até 50.000 domínios aleatórios e um deste poderá ser o hospederos de suas ações (PORRAS, et. al. 2009). Primeiramente a sua cotaminação se da por pen-driver. Quando colocado o pen driver que tem seu autorun contaminado pelo Conficker como a imagem abaixo, os usuários estão sujeitos a sua contaminação se os usuários não estão com as atualizações em dia com o Windows Update ou também se o seu antivírus não estiver com as atualizações em dia (CAIS, 2009).
Figura 3 Abrindo arquivos no USB Fonte: arquivo/Marcos Vinicius/2009
Como pode-se ver na figura acima esta tela sempre aparece quando colocamos o nosso pen driver no computador ou notebook, caso o autorun esteja infectado.
25 Atuação do vírus Conficker.
Figura 4 Generalização do Conficker Fonte: http://www.microsoft.com/library/media/1046/brasil/protect/images/viruses/diagram.jpg
Observando que o computador com o Win32/Conficker acima, na figura 4 está contaminado com o vírus, ele manda para a rede e os computadores que estão com pontos de interrogações e os X mostram que estão desprotegidos, estes emblemas significam que estão com Windows Update, Antivírus e Firewall desabilitados. Mas já o computador com o V a chave e a bandeira bloqueia os ataques vindos através dos computadores infectados. E como pode-se ver para finalizar o pen-driver não tem nenhuma forma de proteção contra os vírus, então é facilmente infectado e por assim em diante, poderá dependendo da proteção da máquina infectar e passar adiante o código malicioso (MICROSOFT, 2009)3.
3
MICROSOFT. Proteja-se contra o worm de computador Conficker. Disponível em: . Acesso em 2 dez. 2009.
26 2.1.1 Diretórios Conforme os dados do Cais (2009), o Conficker tem a capaticadade de se mover para os seguintes diretórios do sistema operacional: %Sysdir%\[Random].dll %Program Files%\Internet Explorer\[Random].dll %Program Files%\Movie Maker\[Random].dll %Program Files%\Windows Media Player\[Random].dll %Program Files%\Windows NT\[Random].dll %System%\.dll %Documents and Settings%\<username>\Application Data\.dll %Temp%\.dll
Exemplo de uma DLL no sistema operacional Windows XP:
Figura 5 Procura DLL Fonte: arquivo/Marcos Vinicius/2009
27 Segundo Gudgion (2009, p.10) em todos os sistemas operacionas Windows à pasta %System%, %Program Files%, %Documents and Settings% e %Temp%. As diferenças que o Conficker faz estão abaixo: Windows 2000 e NT is C:\Winnt\System32 Windows 95, 98 e ME is C:\Windows\System Windows XP e Vista is C:\Windows\System32.
2.1.2 Contaminação do registro Logo após salvar seu arquivo aleatório o Conficker executa o arquivo que está localizado na pasta do sistema. Exemplo: % System% \ svchost.exe-k netsvcs (GUDGION, 2009). O Malware adiciona a seguinte entrada Registro: HKLM \ SYSTEM \ CurrentControlSet \ Services \ filename \ Parameters \ ServiceDll = "% System% \ filename "
28 Como na figura abaixo, consta-se como é sua atuação de forma suscinta.
Figura 6 Contaminação de registro Fonte: http://www.ca.com/us/securityadvisor/virusinfo/showimage.aspx?caid=77976&name=confickerc _newservice.gif
29 Na figura 7, o Conficker criou um nome de DLL aleatório, para usá-lo como bibliotecas do Windows para sua atuação (CAIS, 2009).
Figura 7 svchost.exe Fonte: www.raymond.cc/images/what-is-svchost.png
O serviço svchost.exe (Generic Host Process for Win32 Services) que aparece acima, foi criado junto com o Windows 2000, é um serviço do sistema operacional que prove para o computador acesso a internet, nele estão às configurações do
30 DNS. Por isso o Conficker o usa para poder se espalhar através das redes (MI4
CROSOFT, 2009) . O ochabwkj.dll é um nome aleatório como disse acima que o Conficker o usa para a contaminação das bibliotecas do Windows.
2.1.3 Infecção USB Segundo Gudgion (2009, p.21) nas mídias removíveis o Malware salva uma cópia sua de forma oculta dentro da unidade, aonde se encontra a pasta RECYLER. Um
exemplo:
“G:\RECYCLER\S-5-3-42-2819952290-82S7834874384383488-
898342759328749437992375\JWGKVSQ.VMX”. Um exemplo de uma imagem de um pen-driver infectado:
Figura 8 Autorun.inf infectado Fonte: arquivo/Autor/2009
4
MICROSOFT. Uma descrição do Svchost.exe no Windows XP Professional Edition. Disponível em: . Acesso em 2 dez. 2009.
31 Como pode-se analisar na figura acima, o autorun tem um tamanho de 58kb muito desproporcional ao tamanho real dos autoruns que não estão infectados que geralmente são normalmente do tamanho de 10kb (GUDGION, 2009).
Figura 9 Arquivo jwgkvsq.vmx Fonte: http://www.kill.com.cn/vir/ruchong/middle/images/pic00qt26g4.gif
Para visualizar o arquivo oculto vá em Tools>Folder Options>View>Show hidden, folders, and drivers. Caso queira apagar o virus apenas clique sobre o virus e aperte Shift + Del.
2.1.4 Infecção via internet Após o computador ter o WORM na máquina, o Malware usa as seguintes variáveis para se propagar (GUDGION, 2009). HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ (random) \ Parameters \ "ServiceDll" = "Caminho para WORM" HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ (random) \ "ImagePath" =% SystemRoot% \ system32 \ svchost.exe-k netsvcs
32 Após a alteração no registro, o vírus altera as permissões da chave de registro, tirando a permissão do Administrador e deixando apenas as permissões especiais para o SYSTEM, como na imagem abaixo (GUDGION, 2009).
Figura 10 Permissão da chave de registro Fonte: arquivo/Autor/2009
As últimas variantes do Conficker são conhecidas por gerar cinqüenta mil nomes de domínios, usando seu próprio algoritmo. Abaixo você poderá ver a imagem do seu código fonte (PORRAS, et. al. 2009).
33
Figura 11 Código de geração de domínio Fonte: SRI INTERNACIONAL
Este código tem a possibilidade de gerar 116 domínios diferentes, como exemplo de: com.uy, com.ua, com.tw, com.tt, com.tr, com.sv, com.py, com.pt, com.pr, com.pe, com.br entre outros (PORRAS, et. al. 2009). Tentativas de conexões para os seguintes sites para obter o endereço IP público do computador afetado (PORRAS, et. al. 2009). hxxp: / www.getmyip.org / hxxp: / getmyip.co.uk / hxxp: / checkip.dyndns.org / hxxp: / whatsmyipaddress.com /
Tenta baixar um arquivo Malware a partir do site. hxxp: / / trafficconverter.biz / [virus]. exe
Inicia um servidor HTTP em uma porta aleatória na máquina infectada para hospedar uma cópia do WORM. Continuamente verifica a sub-rede do hospedeiro infectado por máquinas vulneráveis e executa o exploit. Se a exploração for bem sucedida, o computador remoto, então, liga novamente para o servidor HTTP e baixar uma cópia do WORM (PORRAS, et. al. 2009).
34 2.1.5 Sintomas da infecção da rede 1. Volume de tráfego de rede aumenta se houver PCs infectados na rede, porque ataque à rede começa a partir desses computadores infectados. Exemplo de um aumento de tráfego na rede (CAIS, 2009).
Figura 22 Aumento de trafego Fonte: arquivo/Autor/2009
2. É impossível acessar sites da maioria das empresas do anti-vírus, por exemplo, avira, avast, eSafe, DrWeb, ESET NOD32, F-Secure, Panda, Kaspersky, Microsoft (GUDGION, 2009).
35
Figura 33 Acessando sites bloqueados pelo Conficker Fonte: arquivo/Autor/2009
3. Uma tentativa de ativar os varios tipos de antivírus e depois tentar atualizá-lo, os computador infectado com o Net-WORM.Win32.Kido WORM de rede pode resultar no encerramento anormal e dar um dos seguintes erros: Processo de Ativação concluída com erro de sistema Nome do servidor não pode ser resolvido.
36 Não é possível conectar ao servidor.
Segundo Gudgion (2009, p.21) exemplo de uma contaminação na máquina aonde o vírus bloqueia qualquer conexão vindo de programas de segurança:
Figura 44 Bloqueio da conexão do Kaspersky Fonte: arquivo/Autor/2009
A seguir a lista de algumas palavras e websites bloqueados pelos Conficker (PORRAS, et. al. 2009): Windowsupdate, wilderssecurity, emsisoft, pctools, hacksoft, comodo, avira, avast, esafe, drweb, grisoft, nod32, kaspersky, f'secure, panda, sophos, trendmicro, mcafee, norton, symantec, Microsoft, Defender, rootkit, Malware, spyware e vírus. O Conficker também desabilita vários serviços do sistema operacional Windows. Abaixo veja os bloqueios que o Conficker faz (GUDGION, 2009). wscsvc - Security Center
37 wuauserv - Automatic updates BITS - Background Intelligent Transfer Service WinDefend - Windows Defender ERSvc - Error Reporting Service WerSvc - Windows Error Reporting Service
Exemplo da atuação do Conficker bloqueando os serviços:
Figura 55 Serviços desabilitados pelo Conficker Fonte: arquivo/Autor/2009
Acima visualiza-se as Atualizações Automáticas, relatório de erros, gerenciando de download e a central de segurança sendo desabilitados quando entra-se nessa opção pode-se ver claramento a desabilitação (GUDGION, 2009).
38
Figura 66 Atualização Automática Fonte: arquivo/Autor/2009
Abrindo a opção Windows Defender ele nos motra que foi desativado também como na imagem abaixo (GUDGION, 2009).
39
Figura 177 Desabilitando o Windows Defender Fonte: arquivo/Autor/2009
O WORM desabilita toda a central de segunraça do Windows. (GUDGION, 2009).
A Central de Segurança do Windows pode ajudar a aumentar a segurança de seu computador inspecionando o status de vários componentes fundamentais da segurança do computador, inclusive configurações de firewall, atualizações automáticas do Windows e configurações de software antimalware, de segurança da Internet e do Controle de Conta de Usuário Se o Windows detectar um problema em um destes componentes fundamentais da segurança (por exemplo, se o programa antivírus estiver obsoleto), a Central de Segurança exibe uma notificação e coloca um ícone Imagem do escudo vermelho da Central de Segurança da Central de Segurança na área de notificação. Clique a notificação ou clique duas vezes no ícone da Central de Segurança para abrir a Central de Segurança e obter informações sobre 5 como reparar o problema. (MICROSOFT, 2009) .
5
MICROSOFT. Usando a Central de Segurança do Windows. Disponível em: . Acesso em 2 dez. 2009.
40 Veja esta desabilitação feita pelo Conficker da central de segurança:
Figura 18 Central de segurança desabilitado pelo Conficker Fonte: arquivo/Autor/2009
2.1.6 Ativação do agendador de tarefas Segundo a Microsoft (2009), o agendador de tarefas tem as seguintes funcionalidades: O snap-in MMC do Agendador de Tarefas permite que você agende tarefas automatizadas que realizem ações em um horário específico ou quando um determinado evento ocorrer. Ele mantém uma biblioteca de todas as tarefas agendadas, fornecendo um modo de exibição organizado das tarefas e um ponto de acesso conveniente para gerenciá-las. Da biblioteca, você pode executar, desabilitar, modificar e excluir tarefas. A interface do usuário (IU) do Agendador de Tarefas é um snap-in MMC que substitui a extensão do Explorer das Tarefas Agendadas no Windows XP, Windows Server 2003 e Windows 2000. Para obter mais informações sobre como iniciar ou acessar 6 a IU do Agendador de Tarefas. (MICROSOFT, 2009) .
Depois de comprometer uma máquina remotamente, Win32/Conficker.B cria uma agenda de trabalho remoto com o comando "rundll32.exe <nome do arquivo
6
MICROSOFT. Visão geral sobre o Agendador de Tarefas. Disponível em:< http://windows.microsoft.com/ptBR/windows-vista/Using-Windows-Security-Center>. Acesso em 2 dez. 2009.
41 Malware>. Dll, <parâmetros Malware>" para ativar a cópia, como mostrado na figura 19 (PORRAS, et. al. 2009).
Figura 19 Tarefa agendada pelo Conficker Fonte: arquivo/Autor/2009
Abrindo uma tarefa agendada e quando observardo, o vírus usa a DLL rundll32.exe. O Rundll32.exe permite que DLL's sejam executados como executáveis pelo sistema. Uma DLL é uma "Biblioteca" ou "extensão de arquivo ou arquivos", com instruções para execução de uma determinada tarefa. Uma DLL pode ser usada por um ou mais programas, pois pode conter instruções em comum para mais de um programa ou arquivo. O Rundll32.exe geralmente vem desabilitado no sistema, mas um aplicativo pode ativá-lo para rodar alguma DLL (próprio do programa, de outro programa ou do sistema), como se fosse executável (PORRAS, et. al. 2009).
42
Figura 20 Abrindo uma tarefa agendada pelo vírus Fonte: arquivo/Autor/2009
2.1.7 Infecção via P2P Variantes mais recentes descobertas em março de 2009 incluía uma capacidade de P2P. Esta capacidade permite Conficker possa se comunicar com outras máquinas infectadas Windows (GUDGION, 2009). Para facilitar a capacidade de P2P, a necessidade criar vários segmentos que entrará em contato com máquinas de pares via portas UDP e TCP. Em seguida, ele ouve em duas portas TCP e UDP e modifica a configuração do Windows Firewall para que conexão de entrada nessas portas TCP e UDP seja permitida. Essas portas abertas receberão mensagens P2P a partir de máquinas (GUDGION, 2009).
43 As mensagens P2P são criptografadas e contém um código de mensagem que identifica qual é o conteúdo das mensagens P2P. Um dos tipos de cargas transportadas por estas mensagens P2P pode ser um código executável que será executado na máquina do peer que recebeu a mensagem de P2P. (GUDGION, 2009). O seguinte Registro entradas é criado pela rotina P2P para armazenar seu estado interno (GUDGION, 2009). HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows HKEY_LOCAL_MACHINE \ SOFTWARE
\
Microsoft
\
Windows
\CurrentVersion\Explorer\{%d-%d-%d-%d-
%d}\%string% \ CurrentVersion \ Explorer \ (% d-% d-% d-% d% d) \% texto% HKEY_CURRENT_USER\Software\Microsoft\Windows
HKEY_CURRENT_USER
\
Software \ Microsoft \ Windows \CurrentVersion\Explorer\{%d-%d-%d-%d-%d}\%string% \ CurrentVersion \ Explorer \ (% d-% d-% d-% d% d) \% texto%
Para que o Conficker possa se propagar na rede de computadores por P2P, ele lança uma regra de exceção na configuração do Firewall do Windows para que as portas TCP e UDP utilizadas pelo código malicioso como na imagem abaixo (GUDGION, 2009).
Figura 81 Infecção via rede P2P Fonte: http://www.iss.net/Display/images/xforce/conficker.gif
44
2.2
Remoção e prevenção O Windows vem com a opção de todo os discos removíveis serem encontrados
e auto-executados, e é ai que se encontra a brecha. A princípio deve-se remover todas as nossas infecções encontradas nos pen-driver e bloquear as entradas dos discos removíeis. Quando você insere uma unidade de flash USB que está infectado, abre o autorun "padrão" e uma janela aparece. Se você clicar na opção padrão para "Abrir pasta para exibir arquivos", o sistema torna-se infectado, juntamente com todos os outros computadores em sua rede local (CAIS, 2009). A janela de autorun que aparece contém uma pasta "falsa Abrir para visualizar arquivos de entrada" que executa o vírus ao invés de abrir uma pasta para exibir seus arquivos. Se você clicar nesta opção autorun falso, o vírus é executado de forma livre e sem restrições. Conficker então cade vez mais se transformando em diferentes padrões para evitar a detecção de antivírus para infectar todo o seu mquina e a rede local. Porque ele se transforma seu código de forma aleatória, tradicionalmente a detecção baseada em assinaturas que atualmente utiliza software antivírus faz a detecção quase impossível. Quando você conecta um drive USB externo, Conficker usa uma engenharia social "truque para enganá-lo em execução o vírus e infectar o computador. Basicamente, Conficker modifica a maneira como o Windows "autorun" funciona quando você conecta um drive USB externo. As duas telas abaixo mostram como a janela do autorun quando você conectar um dispositivo USB (GUDGION, 2009).
45
Figura 92 Abertura de arquivo duplicado Fonte: arquivo/Autor/2009
46
Figura 23
Abrir pasta certa
Fonte: arquivo/Autor/2009
Nas duas figuras acima, a duas opções de abertura de arquivo, a primeiro é a que contém vírus e a seguranda que mostra a ceta vermelha é a padrão do Windows que não contém o Malware. Então para evitar a contaminação do Conficker através da execução do USB deve-se clicar sempre em usar o Windows Explorer, desabilitar a execução automática do USB e passar um antivírus antes de abrir um dispositivo USB (SCHMIDT, 2005). Instrução para desabilitar execução automática do USB: Clique em Iniciar e em Executar. Na caixa Abrir, digite regedit e clique em OK. Localize e clique na seguinte chave do Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor No painel à direita, clique duas vezes em Start.
47 Na caixa Dados de valor, digite 4, clique em Hexadecimal (se não estiver selecionado) e em OK. Feche o Editor do Registro.
Exemplo visual da execução:
Figura 24 Alteração de registro de USB Fonte: arquivo/Autor/2009
Exemplo de scan com o Antivirus McAfee no pendriver, detectando o vírus Conficker:
Figura 25 Antivírus detectando Conficker Fonte: arquivo/Autor/2009
48 2.2.1 Atualização Crítica Em 23 de outubro de 2008 a Microsoft publica sua falha indentificada como MS08-067 que tem por objetivo corrigir falhar aonde vírus venham controlar os computadores remotamem sem o consentimento do usuário, veja abaixo uma nota explicativa (MICROSOFT, 2009). Esta atualização de segurança resolve uma vulnerabilidade reportada em particular no serviço do servidor. A vulnerabilidade pode permitir execução remota de código se um usuário receber uma solicitação de RPC especialmente criada em um sistema afetado. Nos sistemas Microsoft Windows 2000, Windows XP e Windows Server 2003, um invasor pode explorar esta vulnerabilidade sem autenticação para executar código arbitrário. É possível que esta vulnerabilidade seja usada na criação de uma exploração por WORM. As práticas recomendadas de firewall e as configurações de firewall padrão podem ajudar a proteger recursos de rede contra ataques com origem externa ao perímetro da empresa.Esta atualização de segurança é classificada como Crítica para todas as edições com suporte do Microsoft Windows 2000, Windows XP, Windows Server 2003 e como Importante para todas as edições com suporte do Windows Vista, Windows Server 2008. Para obter mais informação, consulte a subseção Software afetado e não afetado nesta seção. A atualização de segurança elimina a vulnerabilidade, corrigindo a maneira como o serviço Servidor manipula solicitações de RPC. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas freqüentes relacionada à entrada da vulnerabilidade específica presente na próxima seção, Informações sobre a vulnerabilidade (MICRO7 SOFT, 2009) .
7
MICROSOFT. Windows Update. Disponível em: . Acesso em 9 ago. 2009.
49 Atualização do Windows conforme as imagens abaixo:
Figura 26 Windows Update Fonte: arquivo/Autor/2009
50 Outra opção é acessar o Windows Update no Windows XP, utilizando o menu iniciar clássico.
Figura 27 Windows Update diferente Fonte: arquivo/Autor/2009
3.3.2 Atualizando o Antivírus A primeira coisa que se deve esclarecer é a importância de sempre estar o antivírus atualizado em seu computador. Todos os dias aparecem vários vírus novos e todos os dias são desenvolvidos as curas para esses vírus. Muitos programas fazem isso automaticamente, o que é bom para a segurança, mas podem deixar seu computador ou a conexão com a internet mais lenta. Quando você deixa de atualizar seu antivírus, você pode correr vários perigos de infecção no seu computador. Os melhores antivírus atualizam seu banco de dados de Malware de 6hrs em 6hrs, fazendo com que você esteja menos sujeitos as pragas encontradas no mundo virtual (MÁRLEO, 2009). Um exemplo abaixo das atualizações dos principais antivírus.
51 Abrindo o Avast, clique em Ferramentas>atualização>Atualização do Banco de dados de vírus:
Figura 28 Avast Fonte: arquivo/Autor/2009
No AVG, para atualizar, clique com o botão direito sobre o ícone da área de notificação perto do relógio do Windows.
Figura 29 AVG Fonte: arquivo/Autor/2009
Para fazer a atualização do Avira pode ser feita na própria tela do programa, selecionado a opção "Start update".
52
Figura 30 AVIRA Fonte: arquivo/Autor/2009
Para Atualizar o Kaspersky clique diretamente sobre o ícone do programa na área de notificação perto do relógio do Windows:
53
Figura 101 Kasperky Fonte: arquivo/Autor/2009
54 Para atualizar o NOD32, clique em Update e logo após clique em Update vírus signature database:
Figura 32 NOD32 Fonte: arquivo/Autor/2009
2.2.2 Firewall Agora pode-se entender porque deve-se ter na nossa rede um firewall ou na nossa máquina instalada: Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. À medida que o uso de informações e sistemas é cada vez maior, a proteção destes requer a aplicação de ferramentas e conceitos de segurança eficientes. O firewall é uma opção praticamente imprescindível. Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet). Seu objetivo é permitir somente a transmissão e a recepção de dados autorizados. Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software. Este último é o tipo recomendado ao uso doméstico e também é o mais comum. Explicando de maneira mais precisa, o firewall é um mecanismo que atua como "defesa" de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados. A vantagem do uso de firewalls em redes, é que somente um computador pode atuar como firewall, não sendo necessário instalá-lo em cada máquina conectada (INFORWESTER, 2009).
De acordo com Cais (2009), os especialistas de segurança descobriram como detectar o Conficker na rede, e abaixo está como deve-se agir:
55 Caso você seja administrador de rede, é possível identificar máquinas infectadas pelo Conficker através dos seguintes procedimentos: Atente para o aumento anormal do tráfego de rede em conexões HTTP (80/TCP), pois o Conficker utiliza este tipo de conexão para receber instruções; Redes locais com compartilhamento de diretórios provavelmente estarão mais lentas, dada a ação do Conficker na rede local; Configure em seu firewall ou Proxy regras que registrem o acesso a URLs acessadas pelo Conficker. Listas atualizadas constantemente com as URLs que o
Malware
tem
acessado
estão
disponíveis
em:
http://cert.lexsi.com/weblog/index.php/2009/02/06/276-noms-de-domaine-deConficker-downadup-a-et-b Configure em seu firewall ou Proxy regras que registrem as seguintes requisições HTTP, muito provavelmente realizadas pelo Conficker CAIS (2009). GET http://[IP]/search?q=0 HTTP/1.0" GET http://[IP]/search?q=1 HTTP/1.0" GET http://[IP]/search?q=n+1 HTTP/1.0"
Agora pode se ver de forma visual como analisar e bloquear o Conficker. Neste processo utilizo o NOD32. CAIS (2009).
56 Aumento do trafego na rede:
Figura 33 Aumento de trafego na rede Fonte: arquivo/Autor/2009
Observa-se que de forma desproporcional o aumento do trafego na figura 33, tem a possibilidade de infecção.
57 Bloqueando os sites que o Conficker se conecta:
Figura 114 Inserir sites bloqueados Fonte: arquivo/Autor/2009
Devemos também colocar regras no firewall para bloquear o Conficker veja CAIS (2009).
58
Figura 125 Regras para bloquear o Conficker Fonte: arquivo/Autor/2009
2.2.3 Administradores de rede Conforme a InfoHelp (2009), a melhor ferramenta open source de scaneamento de porta é o Nmap, veja sua definição e uso: O Nmap é um portscan de uso geral, que pode ser usado, sempre que você precisar verificar rapidamente as portas abertas em determinado host, seja na sua rede local, seja na Internet (INFOHELP, 2009). O Nmap é um pacote muito utilizado e por isso está disponível em todas as principais distribuições. Você pode instalá-lo usando o yast (SuSE), yum (Fedora), urpmi (Mandriva), ou outro gerenciador de pacotes disponível (INFOHELP, 2009). Para o usuário comum é difícil usar esta ferramenta na rede, pois necessita da instalação de um sistema livre na máquina e a instalar do software via apt get no terminal (INFOHELP, 2009).
59 Após instalar o Nmap utilize esta linha de comando (INFOHELP, 2009). nmap -PN -T4 -p139,445 -n -v –“script” smb-check-vulns,smb-os-discovery – “script”-args unsafe=1 ip_do_pc Se o computador estiver infectado, ele mostrará a seguinte mensagem: Conficker: Likely INFECTED Se não estiver infectado, mostrará a seguinte mensagem: Conficker: Likely CLEAN Veja a imagem abaixo, mostra que o vírus aplicou o seu próprio patch -> MS08-067: PATCHED ( possibly by Conficker) (INFOHELP, 2009).
Figura 136 Infected Fonte: http://www.infohelp.org/wp-content/uploads/2009/04/nmapinfected.gif
60 Conforme a InfoHelp (2009) a imagem abaixo mostra que o Sistema Operacional não tem a infecção do vírus conficker, mas continua vulnerável devido o patch da Microsoft MS08-067, não se apresentar instalado.
Figura 37 Vulnerable Fonte: http://www.infohelp.org/wp-content/uploads/2009/04/nmapvulnerable.gif
61 Quando se faz a atualização do Windows Update é mostrado à imagem seguinte -> MS08-067: FIXED e consequentemente é mostrado que o computador está com o Sistema Operacional limpo do vírus Conficker.
Figura 38 Fixed Fonte: http://www.infohelp.org/wp-content/uploads/2009/04/nmappatched.gif
Esta maneira é a melhor para os Administradores de rede saberem qual Windows está sem as atualizações críticas que comprometam a segurança do computador (CAIS, 2009).
2.2.4 Prevenções gerais Pode-se prevenir das seguintes maneiras, sempre atualizando o sistema operacional, instalando um bom antivírus, anti-Malware, anti-spam, anti-kelogeer, antispyware e colocando um bom firewall. Cuidado antes de iniciar um pendriver, dis-
62 quete, memória flash, câmera digital. A princípio não se precisa clicar em nada, o fato de o computador tentar abri-lo já é possível de contaminação (CERT.BR, 2009). É recomendado executar o antivírus em todos os discos rígidos, nos pendrivers e nos desquites, configurando-o para verificar o Registro Mestre de Boot, que são os setores dos discos rígidos e também verificando as memórias do computador. Normalmente o padrão dos antivírus é checar os arquivos com extensões: com, exe, sys, dll, inf, conf e dentro outros. O antivírus deverá ser utilizado todas as vezes que um disquete, pendriver ou câmera digital for inserida no computador, eliminado assim todas as possíveis infecções. Downloads é outra forma de infecção, então os antivírus atuais têm a checagem de download instantâneo, para que ele seja aberto no computador, o antivírus vasculhará as possíveis infecções ou códigos maliciosos. O usuário pode abrir quaisquer e-mails, mais o grande diferencial é que não deve abrir qualquer arquivo que esteja anexo no e-mail, pois muitos destes e-mails são phisinng (disfarçado ou também links), que poderão enganar os usuários, muitos destes e-mails parecem amigáveis, mas se não for de uma pessoa conhecida, jamais abra algo anexado (CERT.BR, 2009).
63
CONSIDERAÇÕES FINAIS
Segurança é um assunto vasto, onde não existem soluções universais, mas sim soluções relativas a um determinado contexto. Ainda estamos longe de termos uma rede de comunicações absolutamente segura, talvez até nunca venhamos ter, porque sempre existirão certas vulnerabilidades e pessoas interessadas em criar novos métodos de ataque. No entanto podemos através do estudo apresentado finalizar, que a situação do Conficker em um Sistema Operacional age para desabilitar a central de segurança, impedindo a atualização de segurança, para a sua propagação nos computadores e a internet e por fim comunicar-se com seu criador. É imprescindível que os antivírus estejam com suas atualizações, pois a cada dia mais os vírus estão surgindo de forma crescente. É importante também que os usuários de micro computadores usem software original para atualizações ou uma solução mais avançada usar software livres. Optando por um software livre que no caso Linux ou outros, o Conficker não poderá atuar de forma eficaz, tirando assim seu objetivo de propagar-se e comunicar-se com seu criador. Durante a pesquisa realizada para o desenvolvimento deste trabalho pude observar a importância sobre a evolução do Vírus Conficker. O profissional de informática precisa conhecer o histórico ou a sua evolução, isto pode ajudá-lo a detectar possíveis infecções nos sistemas, descobrir as diversas maneiras de proliferação do Conficker e os seus métodos de infecção, assim sendo desenvolverem sistemas mais eficientes de proteção, sendo nos dias de hoje essencial para usuários domésticos e empresas. A complexidade do tema acredito ter sido a principal desvantagem encontrada durante a realização desta pesquisa. Explicar minuciosamente a propagação e a atuação do Conficker e a sua forma de remoção e proteção torna-se este trabalho
64 marcante, o principal objetivo é mostrar e alertar os profissionais como se procede a contaminação do vírus Conficker no sistema operacional Windows XP. Com este presente estudo viso contribuir com novas pesquisas relacionada na promoção e prevenção de segurança dos Sistemas Operacionais e o bom funcionamento da rede, a partir de informações extraídas desta pesquisa onde descreve a forma de contaminação e remoção do vírus, acredito que ele seja essencial na produção de um software ou script para detectar e remover o vírus Conficker e até mesmo a produção de um artefato para analisar o trafego da rede com objetivo de detectar e bloquear de forma automática a ação do Conficker.
65
REFERÊNCIAS BIBLIOGRÁFICAS
BRAIN, Marshall. Como funciona o Vírus de Computador. Disponível em: . Acesso em 19 ago. 2009. CAIS. Como identificar e remover o malware Conficker (Downadup ou Kido). Rio de Janeiro, feb. 2009. Rede Nacional de Ensino e Pesquisa. Disponível em: . Acesso em 8 ago. 2009. CERT.BR. Cartilha de segurança para a internet. Disponível em: . Acesso em 1 dez 2009 COHEN, Fred. Histórico: a evolução do vírus de computador. Disponível em: . Acesso em 09 ago. 2009. FRAMINGHAM. Conficker falhou, defendem especialistas. Disponível em: . Acesso em 8 ago. 2009. F-SECURE. Mapa mundial da F-Secure. Disponível em: . Acesso em 8 ago. 2009. GOODMAN. Paul Etal. Techmalogy and organization. 1. ed. Jossy-Bass Publishers: San Francisco, 1990. 21 p. GUDGION, Kevin. Finding W32/Conficker.worm. McAfee Avert Labs. Canada, ago. 2009. Disponível em: . Acesso em 19 ago. 2009. INFOHELP. Conficker – Guia definitivo de remoção. Disponível em: . Acesso em 1 dez 2009. INFOWESTER. Firewall: conceitos e tipos. Disponível em: . Acesso em 8 ago. 2009. JAHANKHANI, Hamid; HESSAMI, Ali G; HSU, Feng. Global Security, Safety, and Sustainability. Communications in Computer and Information Science. 5. ed. Chennai: Springer, 2009. 194 p. ISSN 1865-0929. MARCELO, Vicente. Segurança de sistemas, Ênfase em rede de computadores, 2002. Anais. Belo Horizonte: UFMG, 1995. 655 p. MÁRLEO. As pessoas tem várias dúvidas sobre atualização de antivírus. Neste artigo, várias dessas dúvidas serão sanadas. Disponível em: . Acesso em 1 dez 2009.
66 MICROSOFT. Boletim de Segurança da Microsoft MS08-067 – Crítica. Disponível em: . Acesso em 2 dez. 2009. MICROSOFT. O que são vírus, worms e cavalos de Tróia? Disponível em: . Acesso em 2 dez. 2009. MICROSOFT. Proteja-se contra o worm de computador Conficker. Disponível em: . Acesso em 2 dez. 2009. MICROSOFT. Uma descrição do Svchost.exe no Windows XP Professional Edition. Disponível em: . Acesso em 2 dez. 2009. MICROSOFT. Usando a Central de Segurança do Windows. Disponível em: . Acesso em 2 dez. 2009. MICROSOFT. Visão geral sobre o Agendador de Tarefas. Disponível em:< http://windows.microsoft.com/pt-BR/windows-vista/Using-Windows-Security-Center>. Acesso em 2 dez. 2009. MICROSOFT. Windows Update. Disponível em: . Acesso em 9 ago. 2009. ORRICO, J. H. Pirataria de Software. 1. ed. São Paulo: MM Livros, 2004. (Informática). ISBN 89788590424222. PORRAS, Phillip; SAIDI, Hassen; YEGNESWARAN, Vinod. SRI International. USA, feb. 2009. Seção An Analysis of Conficker's Logic and Rendezvous Points. Disponível em: . Acesso em 11 ago. 2009. ROHR, Altieres. Perigos virtuais de todo dia. Disponível em: . Acesso em 06 ago. 2009. SCHMIDT, Hannes. How to disable USB sticks and limit access to USB storage devices on Windows systems. Disponível em: . Acesso em 2 dez. 2009. ULBRICH, Henrique Cesar; DELLA VALLE, James. Universidade H4CK3R, desvende todos os segredos do submundo dos hackers. 5. ed. São Paulo: Digerati Books, 2005. 319 p. ISBN 8589535-01-0.