Pesquisar

22 de mai de 2009

Como saber se um computador está infectado pelo Vírus Conficker e virou um Zumbi?

Hoje é o Vírus Conficker que está arrasando, amanhã será outro. O importante é compreender o modus operandi deste tipo de Worm, que objetiva arregimentar a maior quantidade possível de Zumbis no mundo inteiro. Uma grande rede de computadores infectados se chama Botnet no jargão da segurança e significa máquinas que pode ser controladas remotamente pelos hackers proprietários dos programas “zumbificadores”. O Conficker é mais um deste vírus deste tipo.

Nestes momentos em que você está lendo este texto através da Internet, seu computador pode estar possuído por uma Botnet e você nem se deu conta. Para que isto tenha acontecido, é lógico que uma série de fatores deve convergir, desde a negligência do usuário com as questões de segurança, até a sua displicência ao abrir emails com anexos e por fim, o hábito promíscuo do usuário em instalar programas piratas crackeados.

Fragilidades que podem levar à infecção de Vírus do tipo Conficker:
- O usuário não implantou senha de inicialização do Windows. Nesta condição, o computador que quando ligado, entra diretamente na área de trabalho e vira um grande candidato a se tornarem zumbi, ainda mais porque normalmente os usuários operam nele usando uma conta de administrador que concede plenos poderes para qualquer um fazer o que bem (mal) quiser no sistema;

- Windows pirata, é um daqueles que não conseguem sofrer atualizações, porque senão a Microsoft invalida o número de série;

- Antivírus fraco, normalmente é um daqueles que são oferecidos para gratuitamente para download na Internet, mas que não têm todos os recursos das versões pagas;

- Não tem Firewall instalado.

Principais sintomas de um computador que se converteu num Zumbi de Botnet:
- O antivírus não atualiza;

- A velocidade do computador e a velocidade da conexão com a Internet caem espantosamente. Isto acontece porque um computador zumbi devia grande parte dos seus recursos de hardware e da banda da Internet para perfazer as atividades de rede maliciosa;

- Estanhas janelas Popups pipocam intermitentemente enquanto você está navegando;

- A sua página inicial no Browser se altera sozinha sem motivo aparente;

- Seu computador manda automaticamente emails estranhos para a os seus amigos;

- Você passa a receber muitos emails com mensagens de endereço inválido ou de “Failure Notice”, sendo que você não passou nenhum deles;

- Seus amigos lhe enviam emails avisando que o seu computador está infectado;

- O sistema começa a exibir repetidas mensagens de falta de memória e espaço em disco;

- O sistema apresenta falhas repetidas no Windows Defender e no Windows Explorer;

- Você não consegue mais acessar sites de fabricantes de Antivírus;

- Determinadas pastas do Windows não permitem o acesso;

- O sistema congela frequentemente, reinicia sozinho e começa a dar “pau” a toda hora.

Enquanto o seu computador está possuído por uma Rede Zumbi, quais atividades extras ele desempenha?
- Manda incessantemente emails de SPAM para milhares de endereços no mundo;

- Tenta infectar outros computadores que possuem as mesmas vulnerabilidades do seu;

- Participa de ataques coordenados a grandes servidores mundiais;

- Recebe atualizações dos vermes (worms) já instalados e outros malwares para serem distribuídos;

- Pode servir de servidor FTP para armazenar material de pedofilia, terrorismo, racismo, etc.

Passos para desacoplar um computador de uma Botnet.
- Implante uma senha na inicialização do Windows, de modo que o computador não entre automaticamente na área de trabalho;

- Atualize o sistema operacional e, se for pirata, você dever trocar por um SO legítimo que funcione sem cracks, pois muitas vezes os próprios cracks são vírus disfarçados;

- Habilite as atualizações automáticas do Windows;

- Deixe de ser pão duro e invista num bom aplicativo completo de segurança de Internet que contenha antivírus, antispyware e Firewall.

Este artigo, mais do que dar dicas práticas para a desinfecção do Conficker, atenta para os bons hábitos a serem cultivados pelos usuários, pois por trás de cada episódio de infecção há uma série de falhas e negligências.

Por: Isaias Malta.

Leitura Adicional:
[Terra]
[Firewalls and Virus Protection]
[Techxplore.net]
[Viruslist]

4 comentários:

  1. Salve Isaias,

    quem usa o servidor de DNS do OpenDNS.com tem como saber isso acessando o 'dashboard' do site, pois ele analisa suas requisições de DNS (aliás, ele bloqueia os domínios mais comumente usados pelo worm)

    []s

    ResponderExcluir
  2. Parece que o método de bloquear domínios não está dando tanto resultado, já que numa recente atualização do Conficker, ele se tornou capaz de endereçar 500 domínios aleatórios de uma lista de 50.000. http://www.npd.ufes.br/node/215

    Talvez a melhor tática seja o mundo se unir e partir para a atividade hacker do "bem", explorando uma vulnerabilidade descoberta no código do Conficker que permite que ele seja rastreado remotamente. Isto quer dizer que os scanners poderiam "matá-lo" remotamente. É claro que isto esbarra em problemas éticos, pois seria necessário invadir milhões de computadores alheios.
    http://planetamanager.com.br/forum/index.php?showtopic=41045&st=0&p=317777&#entry317777

    ResponderExcluir
  3. Bom,pelas tuas dicas acho que o meu esta salvo,por enquanto...bom post.

    ResponderExcluir
  4. Cara, parabéns pelo post!
    Muito bom.

    ResponderExcluir