Algumas informações sobre uma nova variante do Conficker estão sendo veiculadas e discutidas recentemente, e estão causando preocupações e algumas confusões aos usuários e empresas em geral.
Existe a possibilidade de que esta nova variante desenvolva uma ação a partir de 1º de Abril, e algumas das preocupações e confusões justamente estão relacionadas a um ataque especifico nesta data.
Alguns pontos importantes:
· A variante do Conficker.D possui algumas diferenças com relação as variantes anteriores (Conficker; Conficker.B; Conficker.C), principalmente na forma de propagação, ou seja, a principio não se propaga através de dispositivos removíveis, nem através de compartilhamentos de rede. Ficando como vetor de infecção a exploração da vulnerabilidade já corrigida no boletim MS08-067.
· A princípio, esta variante não “constrói” automaticamente uma lista de URLs para, a partir daí, tentar conectar-se a estes links e baixar outros arquivos e malwares. Estando previsto que esta ação ocorrerá a partir de 1º de Abril, e que irá possuir uma lista com mais de 50.000 links de várias partes do mundo e que tentará consultar cerca de 500 links de cada vez, para baixar malwares (provenientes de alguns dos links) que podem permitir que a maquina possa ser controlada remotamente e/ou fazendo parte de um botnet, ou instalando algum rootkit, etc.
Recomendações:
Instale o MS08-067 em todo o seu ambiente.
· Utilize um antivírus com detecção do Conficker, o mesmo deverá atuar na detecção, na remoção e no bloqueio da replicação do worm para outras máquinas. Por exemplo, o Microsoft Forefront Client Security e o Windows Live OneCare podem detectar, remover e bloquear .
· Utiliza senhas fortes tanto para usuários quanto para contas de serviços, e também para qualquer compartilhamento existente.
· Pode-se também desabilitar a função de Autorun/Autoplay para evitar que dispositivos removíveis contaminados, quando conectados em uma maquina, possam infectar a mesma.
Alguns Links Importantes:
Atualizações de Segurança:
Boletim de Segurança MS08-067
Configurando o WSUS:
http://technet.microsoft.com/en-us/wsus/default.aspx
Os dez princípios do Gerenciamento de Atualizações:
http://technet.microsoft.com/en-us/library/cc512589.aspx
Blog do “Security Research & Defense” sobre MS08-067:
http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx
Senhas:
Criando Política de Senhas Fortes:
http://technet.microsoft.com/en-us/library/cc736605.aspx
Mídias removíveis:
Windows Vista Security Guide| Chapter 3: Protect Sensitive Data | Device Control: http://technet.microsoft.com/en-us/library/bb629455.aspx#4
How to correct “disable Autorun registry key” enforcement in Windows: http://support.microsoft.com/kb/953252
Antivirus:
Encyclopedia write up:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B
Virus alert about the Win32/Conficker.B worm:
http://support.microsoft.com/kb/962007
MSRT:
Main article:
http://support.microsoft.com/?kbid=890830
How to use the MSRT in enterprise environments:
http://support.microsoft.com/kb/891716
Algumas perguntas relacionadas a plataformas não mais suportadas também tem chegado, ou seja, alguns ambientes que ainda possuem NT4, Windows 9x, etc.
Nestes casos não existe um fix para ser aplicado, pois não são mais plataformas suportadas. Então, o que pode ser feito?
-Da mesma forma que não existe o fix, não há como confirmar se a vulnerabilidade existe ou não. Mas é importante considerar que ela exista e que a atualização da versão é fundamental para diminuir os riscos que um, ou alguns, equipamentos podem causar no ambiente como um todo.
-Tente proativamente seguir algumas das recomendações acima para mitigação do risco (Senhas, Shares, Antivirus,etc) enquanto desenvolve o processo de migração.
Categorizado como : 
out.8,2009
