Alerta: Nova worm "Downadup"

Fonte: vu

A F-Secure alerta para novas versões do worm "Downadup" que estão danificando redes corporativas, estações Windows e servidores. Desde o Ano Novo, a F-Secure tem recebido diversos relatórios de redes infectadas com variantes deste malware, e já está trabalhando em parceria com as empresas infectadas, assim como diversas organizações CERT, para combater esta epidemia.

O "Downadup" (também conhecido como Conficker) é parte de uma grande família de worms de rede, e são difíceis de remover, especialmente no caso de uma infecção interna dentro de uma rede corporativa.

O que fazer para não ser infectado:

Certifique-se que as últimas correções da Microsoft foram aplicadas.
Certifique-se que a sua empresa está usando a versão mais atual do seu antivírus.
Verifique se o antivírus está atualizado.
Desligue o AUTORUN e AUTOPLAY pra cartões USB.
Certifique-se que as senhas de domínio de usuário são fortes.
Tenha cuidado extra com as senhas dos administradores do domínio.

O que fazer se a sua rede já estiver infectada:

Verifique o website do seu fornecedor de antivírus para instruções de desinfecção website.
A desinfecção deste worm é complexa e pode exigir que partes da sua rede sejam desligadas.
Restrinja o uso de cartão USB e bloqueie o tráfego desnecessário em seus firewalls.

O que o worm faz?

O Downadup usa diversos métodos diferentes para se espalhar. Incluindo a recente vulnerabilidade corrigida no Windows Server Service, adivinhando senhas de rede e infectando cartões USB. Uma vez que o malware consegue acesso ao interior da rede corporativa, é mais difícil erradicá-lo completamente da maquina.

Um dos problemas típicos gerados pelo worm inclui o bloqueio de contas de usuários. Isto acontece porque o Downadup tenta descobrir (ou usa o programa Brutal Force), as senhas da rede, executando o bloqueio automático de um usuário, gerando muitas falhas na tentativa de inserção de senha.

Uma vez que o worm infecta uma máquina, ele se protege de forma bem agressiva. Ele se programa para ser reiniciado com muita antecedência no processo de boot-up do computador e também ajusta os Direitos de Acesso para os arquivos e chaves de registro de forma que o usuário seja incapaz de removê-los ou alterá-los.

O Downadup baixa versões modificadas de si mesmo por meio de uma grande lista de websites. Os nomes destes websites são gerados por um algoritmo baseado na data e na hora atual. Como existem centenas de nomes de domínios diferentes que podem ser usados pelo malware, é difícil para as empresas de segurança localizá-los e fechá-los a tempo.


Mais informações técnicas sobre o malware estão disponíveis no blog da F-Secure em: www.f-secure.com/weblog/