Académique Documents
Professionnel Documents
Culture Documents
A Ameaa Continua
Grupo de Resposta a Incidentes
de Segurana
Grupo de Resposta a Incidentes de Segurana
Departamento de Cincia da Computao
Instituto de Matemtica
Universidade Federal do Rio de Janeiro
grisgris!dcc!u"r#!$r
augustogris!dcc!u"r#!$r
por:
Augusto Cesar da F. dos Santos
Sumrio
Introduo
Sistemas Vulnerveis
Estatsticas
Principais Vetores de infeco
Atualizao do Malware
Gerao de omnios
Peculiaridades da Infeco
!"cnicas de Autodefesa
A #omunicao P$P %Peer&to&
Peer'
(e)uisi*es +!!P
, Processo SV#+,S!-E.E
, #onfic/er como uma 0otnet
Prote1endo&se da Infeco
(emovendo a Infeco
(esumo da (emoo %Passo a
Passo'
Estrutura do Malware
http://net.cs.uni-bonn.de/fileadmin/ag/martini/Research/Secure_and_Efficient_Internet_Operation/images/Conficker-
Video_small-screen-shot.pg
Introduo
2amlia de 3orms mutantes )ue infectam Sistemas ,peracionais
3indows4
Al"m das variantes -A5 -05 -#5 -5 -E so tam6"m con7ecidas as
variantes ownadup ou 8ido5 al"m de outros aliases4
, ata)ue via6iliza&se em e9plorar uma vulnera6ilidade em uma
funo de (P# %(emote Procedure #all'5 instala&se no 7ospedeiro5
faz c:pias de si e al"m de espal7ar&se5 atualiza&se para novas
vers*es4
2oi primeiramente detectado em um ;telesc:pio de rede< na
#alif:rnia4
Principal peculiaridade de a1ir como 0ot %=um6i'4
Infectou mais de >$ mil7*es de sistemas ao redor do mundos em
?aneiro de $@@A4
fonte: http://www.csirt.pop-mg.rnp.br/docs/conficker.html
Introduo
, #onfic/er em AoB
Introduo
, #onfic/er em AoB
http://info.abril.com.br/noticias/seguranca/a-historia-secreta-do-conficker-14092009-14.shl
, #onfic/er em AoB
Microsoft 3indows $@@@ Service Pac/ C
3indows .P Service Pac/ $
3indows .P Service Pac/ D
3indows .P Professional 9EC Edition
3indows .P Professional 9EC Edition Service Pac/ $
3indows Server $@@D Service Pac/ >
3indows Server $@@D Service Pac/ $
3indows Server $@@D 9EC Edition
3indows Server $@@D 9EC Edition Service Pac/ $
3indows Server $@@D com SP> para sistemas 6aseados no Itanium
3indows Server $@@D com SP$ para sistemas 6aseados no Itanium
3indows Vista e 3indows Vista Service Pac/ >
3indows Vista 9EC Edition e 3indows Vista 9EC Edition Service Pac/ >
3indows Server $@@F para
3indows Server $@@F para sistemas 6aseados em 9ECG
3indows Server $@@F para sistemas 6aseados no Itanium
Sistemas Vulnerveis
Estatsticas
Estatsticas
Fonte: http://mtc.sri.com/Conficker/
Principais Vetores de Infeco
E9plorao da vulnera6ilidade no servio ;Servidor< do 3indows
%SV#+,S!-E.E H !#PICCJ KSM0L e !#PI>DA KMet0iosL'4
2al7a corri1ida pelo alerta AJFECC MS@F&@EN da Microsoft
Ata)ues de ;0rute 2orce< contra m)uinas )ue e9ecutam servios
compartil7ados4
!entativa da )ue6ra de sen7a de administrador com ata)ues de
dicionrio4
Infeco atrav"s de dispositivos removveis )ue conten7am reproduo
automtica atrav"s da criao de troOans em formato PP%pen&drive5
cart*es de mem:ria QS0 e etc---'
,0SB A variante 3inD$I#onfic/er- no se espal7a para unidades
removveis nem pastas compartil7adas em uma rede- , 3inD$I#onfic/er-
" instalado por variantes anteriores do 3inD$I#onfic/er-
Atualiao do Malware
(e)uisio +!!PB
ownloads dirios de $J@ domnios pseudo&aleat:rios
,0SB #onforme realizam atualiza*es5 outras variantes
aumentam o nRmero de domnios de re)uisi*es5 )ue
podem c7e1ar a J@@@ dirias
Met0iosB
(emove o patc7 MS@F&@EN para reinfeco da m)uina
P$P %Peer&to&Peer'B
E9ecuta varreduras por peers infectados via QP e e9ecuta
transferSncias por QP
!erao de "omnios
;downatool$-e9e<
Esta ferramenta foi desenvolvida com o intuito de
au9iliar na deteco de m)uinas )ue esteOam
infectadas principalmente pelas variantes -A5 -0 e- #
em uma rede4
Au9ilia na deteco de 7osts )ue se conectam a
domnios maliciosos4
Pode ser encontada no siteB
7ttpBIInet-cs-uni&6onn-deIw1IcsIapplicationsIcontainin1&confic/erI
!erao de "omnios
Peculiaridades da Infeco e Sintomas