2 minutos de leitura

Nova ferramenta indica se computador está infectado com Conficker

4ae73c9
30 de março de 2009

"Software criado por pesquisadores indica se falha no Windows foi “corrigida” pelo Conficker dias antes do seu ataque."

Dias antes da data em que o Conficker está programado para entrar em contato com os crackers por novas instruções, pesquisadores de segurança descobriram uma falha no worm que facilitam a detecção por parte das vítimas.

Os membros do Honeynet Project, Tillmann Werner e Felix Leder, descobriram que PCs infectados retornam mensagens de erro quando recebem mensagens Remote Procedure Call (RPC).

PCs infectados com o Conficker.c, terceira versão do worm, estabelecerão um link com servidores para que os crackers responsáveis pelo malware mandem mais códigos maliciosos. O prazo estimado para download é 1º de abril.

“Você pode perguntar a um serviço se está infectado com Conficker, e ele lhe dirá”, afirmou Dan Kaminsky, pesquisador de segurança responsável pela falha no Domain Name System, em seu blog.

Após publicada, a tecnologia foi modificada e adicionada a sistemas de detecção corporativos de empresas como McAfee, nCircle e Qualys, que serão atualizados.

O software de código aberto Nmap também deverá incluir a atualização para apontar uma suposta infecção.

Máquinas infectadas respondem a mensagens RPC de maneira diferente já que o worm, que explora uma falha no Windows corrigida em outubro pela Microsoft, usa um patch próprio para “fechar a porta” após a infecção.

Resolver uma falha de segurança após explorá-la é uma tática comum entre criminosos para prevenir que outros crackers usem o mesmo caminho para roubar informações.

Por corrigir a falha que explora, o Conficker dificulta a detecção de máquinas infectadas por softwares de segurança. A descoberta de Werner e Leder é uma maneira de indicar se a correção no PC é legítima ou não.

O patch aplicado pelo worm, porém, não fecha totalmente a brecha de segurança no Windows, o que faz com que muitos se preocupem que a ferramenta divulgada pelos pesquisadores possa ser usada por criminosos que queiram sequestrar as cerca de 12 milhões de máquinas infectadas com Conficker.

“Não acho que a falha será explorada por qualquer um além dos autores do Conficker”, disse ele. “Este é um time esperto, determinado e atualizado”.

Werner e Leder publicarão mais informações sobre suas descobertas em um estudo chamado “Know Your Enemy: Containing Conficker — To Tame a Malware”, que será publicado no site da Honeynet Project quando estiver pronto.

Categorias

Comentários