Conficker

A Ameaa Continua
Grupo de Resposta a Incidentes
de Segurana
Grupo de Resposta a Incidentes de Segurana
Departamento de Cincia da Computao
Instituto de Matemtica
Universidade Federal do Rio de Janeiro
grisgris!dcc!u"r#!$r
augustogris!dcc!u"r#!$r
por:
Augusto Cesar da F. dos Santos

Sumrio
Introduo
Sistemas Vulnerveis
Estatsticas
Principais Vetores de infeco
Atualizao do Malware
Gerao de omnios
Peculiaridades da Infeco
!"cnicas de Autodefesa
A #omunicao P$P %Peer&to&
Peer'
(e)uisi*es +!!P
, Processo SV#+,S!-E.E
, #onfic/er como uma 0otnet
Prote1endo&se da Infeco
(emovendo a Infeco
(esumo da (emoo %Passo a
Passo'

Estrutura do Malware
http://net.cs.uni-bonn.de/fileadmin/ag/martini/Research/Secure_and_Efficient_Internet_Operation/images/Conficker-
Video_small-screen-shot.pg

Introduo
2amlia de 3orms mutantes )ue infectam Sistemas ,peracionais
3indows4
Al"m das variantes -A5 -05 -#5 -5 -E so tam6"m con7ecidas as
variantes ownadup ou 8ido5 al"m de outros aliases4
, ata)ue via6iliza&se em e9plorar uma vulnera6ilidade em uma
funo de (P# %(emote Procedure #all'5 instala&se no 7ospedeiro5
faz c:pias de si e al"m de espal7ar&se5 atualiza&se para novas
vers*es4
2oi primeiramente detectado em um ;telesc:pio de rede< na
#alif:rnia4
Principal peculiaridade de a1ir como 0ot %=um6i'4
Infectou mais de >$ mil7*es de sistemas ao redor do mundos em
?aneiro de $@@A4
fonte: http://www.csirt.pop-mg.rnp.br/docs/conficker.html

Introduo
, #onfic/er em AoB

Introduo
, #onfic/er em AoB
http://info.abril.com.br/noticias/seguranca/a-historia-secreta-do-conficker-14092009-14.shl
, #onfic/er em AoB

Microsoft 3indows $@@@ Service Pac/ C
3indows .P Service Pac/ $
3indows .P Service Pac/ D
3indows .P Professional 9EC Edition
3indows .P Professional 9EC Edition Service Pac/ $
3indows Server $@@D Service Pac/ >
3indows Server $@@D Service Pac/ $
3indows Server $@@D 9EC Edition
3indows Server $@@D 9EC Edition Service Pac/ $
3indows Server $@@D com SP> para sistemas 6aseados no Itanium
3indows Server $@@D com SP$ para sistemas 6aseados no Itanium
3indows Vista e 3indows Vista Service Pac/ >
3indows Vista 9EC Edition e 3indows Vista 9EC Edition Service Pac/ >
3indows Server $@@F para
3indows Server $@@F para sistemas 6aseados em 9ECG
3indows Server $@@F para sistemas 6aseados no Itanium
Sistemas Vulnerveis

Estatsticas

Estatsticas
Fonte: http://mtc.sri.com/Conficker/

Principais Vetores de Infeco
E9plorao da vulnera6ilidade no servio ;Servidor< do 3indows
%SV#+,S!-E.E H !#PICCJ KSM0L e !#PI>DA KMet0iosL'4
2al7a corri1ida pelo alerta AJFECC MS@F&@EN da Microsoft
Ata)ues de ;0rute 2orce< contra m)uinas )ue e9ecutam servios
compartil7ados4

!entativa da )ue6ra de sen7a de administrador com ata)ues de
dicionrio4
Infeco atrav"s de dispositivos removveis )ue conten7am reproduo
automtica atrav"s da criao de troOans em formato PP%pen&drive5
cart*es de mem:ria QS0 e etc---'
,0SB A variante 3inD$I#onfic/er- no se espal7a para unidades
removveis nem pastas compartil7adas em uma rede- , 3inD$I#onfic/er-
" instalado por variantes anteriores do 3inD$I#onfic/er-

Atualiao do Malware
(e)uisio +!!PB
ownloads dirios de $J@ domnios pseudo&aleat:rios
,0SB #onforme realizam atualiza*es5 outras variantes
aumentam o nRmero de domnios de re)uisi*es5 )ue
podem c7e1ar a J@@@ dirias
Met0iosB
(emove o patc7 MS@F&@EN para reinfeco da m)uina
P$P %Peer&to&Peer'B
E9ecuta varreduras por peers infectados via QP e e9ecuta
transferSncias por QP

!erao de "omnios

;downatool$-e9e<
Esta ferramenta foi desenvolvida com o intuito de
au9iliar na deteco de m)uinas )ue esteOam
infectadas principalmente pelas variantes -A5 -0 e- #
em uma rede4
Au9ilia na deteco de 7osts )ue se conectam a
domnios maliciosos4
Pode ser encontada no siteB
7ttpBIInet-cs-uni&6onn-deIw1IcsIapplicationsIcontainin1&confic/erI

!erao de "omnios

Peculiaridades da Infeco e Sintomas

A Infeco traz possi6ilidades de mal uso da rede5 comoB

!ransmisso de dados ou materiais ile1ais4
oS %istri6uted enial of Service'4
Envio de Spams4
Atividades )ue causem es1otamento de recursos da rede4
iversos sites relacionados a se1urana so restritos por palavras pertinentes4
2erramentas de Se1urana no conse1uem ser inicializadas em loco4
!ransferSncia de dados sem autorizao atrav"s de #omunicao P$P4
http://!!!.microsoft.com/securit"/portal/#hreat/Enc"clopedia/Entr".asp$%&ame'(orm)*a(in*+)+fConficker.,
http://!!!.microsoft.com/securit"/portal/#hreat/Enc"clopedia/Entr".asp$%&ame'(orm)*a(in*+)+fConficker.-

#$cnicas de Autodefesa

%lguns Servios de Segurana "al&am ao ser

iniciali'ados(
3indows Qpdate Service4
0ac/1round Intelli1ent !ransfer Service4
3indows efender4
3indows Error (eportin1 Services4
Qsurios ficam desa6ilitados a se conectarem em sites )ue
conten7am em sua strin1B
Virus5 spTware5 malware5 root/it5 defender5 Microsoft5 sTmantec5
norton5 mcafee5 trendmicro5 sop7os5 panda5 etrust5
networ/associates5 computerassociates5 f&secure5 /aspers/T etc--

#$cnicas de Autodefesa
esativa Atualiza*es automticas4
E9ecuta varreduras por processos anti&malware5
modificando e dia1nosticando ferramentas a cada um
se1undo

A Comunicao P%P&Peer'to'Peer(

Principal comunicao realizada por m)uinas

infectadas pelo worm na sua se1unda verso5
ondeB
, mesmo pode se atualizar para novas vers*es sem
necessitar de uma central4
Unico worm a usar #ripto1rafia ME na sua
comunicao para ocultar o conteRdo do trfe1o4
(ealiza levantamento de informa*es do 7ost infectado
e da rede local5 como velocidades de 6anda5 redes
vizin7as5 pas de ori1em e etc---

A Comunicao P%P

.s primeiras 0ariantes do (orm tentam conectar-se nos seguintes

endere1os para informa12es sobre a m34uina 5data/hora/etc...6:
7ttpBII1etmTip-co-u/
7ttpBIIwww-w7atsmTipaddress-com
7ttpBIIwww-w7atismTip-or1
7ttpBIIc7ec/ip-dTndns-or1
7ttpBIIsc7emas-9mlsoap-or1IsoapIenvelopeI
7ttpBIIsc7emas-9mlsoap-or1IsoapIencodin1I
7ttpBIIsc7emas-9mlsoap-or1IsoapIenvelopeI
7ttpBIIsc7emas-9mlsoap-or1IsoapIencodin1I
7ttpBIItrafficconverter-6izICvirIantispTwareIloadadv-e9e
7ttpBIItrafficconverter-6iz
7ttpBIIwww-ma9mind-comIdownloadI1eoipIdata6aseIGeoIP-dat-1z

)e*uisi+es ,##P

Mas primeiras vers*es do Malware tenta&se fazer

re)uisi*es +!!PB
E9B http://IP/search?!"d
Sendo )ue ;Vd< representa o nRmero de m)uinas
infectadas na rede e9plorada-
http://14$.21%.14$.11/search?!2&9
http://'$.&'.1&.&/search?!9'
http://149.20.%&.$2/search?!194

- Processo SVC,-S#.E/E
Ar)uivo de Sistema so carre1ado na inicializao do
sistema e estes no podem ser apa1ado4
Processo de +ost Gen"rico onde PPWs so carre1adas4
Perspectiva de reusa6ilidade em termos de pro1ramao4
2uno dividida em diversas instXncias l:1icas e criadas
por cada 1rupo4

- Processo SVC,-S#.E/E

(egInfo 2009 ) Palestra *otn$ts
+en,rio -tual. /iscos e +ontramedidas
/icardo 0l1ber 2artins 3al45o
- Conficker atua como uma 0otnet

Prote1endo'se da Infeco
Instalao da atualizao #rtica de Se1urana MS@F&@EN da Microsoft
http://666.microsoft.com/technet/securit7/*ulletin/2(0'-0&8.msp9
Instalar um 6om antivrus- Su1estoB
>- Avira Antivir
$- 0itefender
D- Avast +ome 2ree
7ttpBIIwww-ine9istentman-netI$@@AI@DI@$Ios&>$&mel7ores&antivirus&de&$@@AI
Ativar o 2irewall do 3indows
Qse sen7as de administrador fortes )ue seOam e9clusivas para todos os
computadores4
Verifi)ue se as atualiza*es de se1urana mais recentes foram aplicadas a
todos os sistemas-
esative o recurso de (eproduo Automtica-

)emovendo a Infeco

2erramentas para usurios dom"sticosB

8aspers/T (emoval !ool

)emovendo a Infeco

2erramentas para AdministradoresB

Mmap
Mel7or ferramenta para identificar computadores infectados na
rede e )ue no possuem o patc7 de vulnera6ilidade-
Ap:s instalado5 use a lin7a de comando a6ai9oB
nmap &PM &!C &p>DA5CCJ &n &v &&script sm6&c7ec/&vulns5sm6&os&
discoverT & &script&ar1s unsafeY> KipZdoZpcL
Se o pc estiver infectado5 ele mostrar a mensa1emB
#onfic/erB Pi/elT IM2E#!E
Se no estiver infectado5 mostrar a mensa1emB
#onfic/erB Pi/elT #PEAM

)emovendo a Infeco
A6ai9o5 a evidSncia )ue mostra )ue o vrus aplicou o seu pr:prio patc7 &[ MS@F&@ENB PA!#+E
% possi6lT 6T #onfic/er'

)emovendo a Infeco
epois de remover o vrus do P#5 teremos a se1uinte tela com a informao )ue o confic/er foi
limpo5 mas o computador continua sem o patc7 da microsoft &[ MS@F&@ENB VQPME(A0PE

)emovendo a Infeco
Ap:s aplicar o patc7 teremos a tela a6ai9o mostrando )ue o computador no est mais vulnervel
&[ MS@F&@ENB 2I.E

)emovendo a Infeco
McAfee H #onfic/er etection !ool

)emovendo a Infeco
2azendo o deploT do Patc7 na (ede com PSE.E#
http://download.sysinternals.com/Files/Psools.!ip

)emovendo a Infeco
Fa'endo o deplo) do *atc& na Rede com *S+,+C
http://download.sysinternals.com/Files/Psools.!ip

)esumo de )emoo
7. 8a1a um deplo" na rede para instala19o do patch de
seguran1a e pe1a para os usu3rios reiniciarem os computadores:
+. Rode o nmap para procurar algum computador infectado na
rede:
*. Rode o ar4ui0o de remo19o da ;aspersk" caso ache algum
0<rus:
=. Reinicie e fa1a um full scan com o seu anti0<rus:
Manten&a seu sistema operacional e seu antiv-rus sempre
atuali'ado para evitar pro$lemas como este!

"2vidas 333
http://www.uesb.br/ascom/noticias/imagens/du"ida.#pg

-4ri1ado 555
http://norberto$d.files.wordpress.com/%&&'/&(/obrigado.#pg

0i4lio1rafias
8now \our EnemTB #ontainin1 #onfic/er
:o :ame - 2al6are
!7e +oneTnet ProOect
7ttpBII7oneTnet-or1
2eli9 Peder5 !illmann 3erner
Past ModifiedB Nt7 April $@@A %rev$'
Con"ic.er / Guia de"initivo de remoo
&ttp(00111!in"o&elp!org0t&ales/lara)0con"ic.er/guia/de"initivo/de/remocao0
Guia de deteco e remoo do 6ot #onfic/er
7ttpBIIwww-csirt-pop&m1-rnp-6rIdocsIconfic/er-7tml
A 7ist:ria secreta do #onfic/er
7ttpBIIinfo-a6ril-com-6rInoticiasIse1urancaIa&7istoria&secreta&do&confic/er&>C@A$@@A&>C-s7l
Alerta de vrus so6re o worm 3inD$I#onfic/er
7ttpBIIsupport-microsoft-comI/6IAE$@@NIpt&6r

0i4lio1rafias
7ttpBIIwww-s/ullsecuritT-or1I6lo1I]pY$D@
#ontainin1 #onfic/er
7ttpBIInet-cs-uni&6onn-deIw1IcsIapplicationsIcontainin1&confic/erI
esco6erto novo virus de computador H ^#,M2I#8E(^
7ttpBIIwww-Toutu6e-comIwatc7]vYI?sNzdoG+M