Os problemas ocasionados pelo vírus, que já infectou mais de três milhões de PC?s no mundo todo foram solucionados com sucesso pela equipe de suporte técnico da SISNEMA em alguns dos clientes de contrato. O Downadup, que também está sendo chamado de Conficker aproveita uma falha do sistema operacional do Windows, que já havia sido corrigida em outubro de 2008, e se aproveita disso para proliferar.
O Conficker causa falhas em programas do sistema operacional, bloqueia ou cria novas pastas, nega acesso a áreas administrativas do sistema, entre outros problemas, preferencialmente no Windows 2000 e XP. Com a grande rapidez com que se alastrou as estimativas acreditam que ele tenha se espalhado por um milhão de máquinas em menos de 24 horas.
De acordo com o Diretor de Tecnologia da SISNEMA, Giani Maldaner, que acompanhou de perto a resolução do problema nos clientes, a capacidade destrutiva do Conficker é uma das mais altas vistas nos últimos tempos. "Ficamos impressionados com a rapidez com que ele se alastrou e seu poder de paralisação das estações", declara Maldaner.
O trabalho envolveu diversos técnicos da área de serviços da SISNEMA, que atuaram de forma a evitar a parada total do ambiente dos clientes. Como se tratava de um novo vírus também havia a necessidade de conhecer mais sobre o ataque para saber de que forma atuar. "Conseguimos no tempo esperado solucionar o problema, mas também nos serviu de alerta para destacar, cada vez mais em nossos clientes a necessidade de atualização", explica o Diretor.
Indicações de Infecção
- Usuário bloqueado fora do diretório;
- Acesso negado à partes do Admin;
- Criação de tarefas agendadas;
- Bloqueio à sites relacionados com segurança
- Pára serviços de Windows Update;
- Gera broadcast ARP. Toda a rede 10.1.X.X de forma crescente;
- Pára antivírus.
Método de Infecção
Ele explora uma vulnerabilidade do MS08-067 do Microsoft Windows Server Service para se propagar. As máquinas devem ser corrigidas e reinicializadas, pois ele pode reinfectar o sistema após a limpeza.
Após a detecção de um ataque o sistema deve ser reinicializado para que a memória seja limpa corretamente, é possível que ele exija mais de uma reinicialização.
Solução
A causa para a rápida proliferação consiste basicamente na falta de atenção dos usuários e empresas às atualizações, tanto de antivírus, como os upgrades do Windows. Em outubro a Microsoft divulgou uma atualização emergencial para o Conficker e, segundo a própria Microsoft a causa principal de tamanha proliferação é a não atualização por parte das empresas e usuários.
O vírus se aproveita de métodos de transmissão como pendrives trocados entre um computador infectado e outro livre do vírus, bem como compartilhamento de arquivos. Em redes domésticas e empresariais e também redes sem fio desprotegidas, sendo um risco não apenas para redes corporativas como domésticas.
Por seu método de ação, o Conficker pode bloquear a entrada do usuário em redes, e depois de conseguir fazer sua vítima, o vírus se protege de forma agressiva. Ele possui três variantes que exploram uma falha no sistema RPC (chamada de procedimento remoto, em português) utilizado pelo Windows, sendo assim é recomendado aos usuários, além de possuir antivírus, também estar em dia com as atualizações do sistema operacional.
Segundo Giani, a falta de atualização é o que realmente ocasiona ações como e do vírus Conficker. "A cada atualização liberada pelos fabricantes de produtos avisamos às nossos clientes sobre a necessidade de atualizar as máquinas porque sabemos das proporções dos problemas que um vírus na rede pode ocasionar. Paralisação de toda a empresa, dados perdidos, fora os prejuízos devido à improdutividade", explica o Diretor.
A solução principal é manter os updates do Windows atualizados e ter o WSUS para fazer o gerenciamento das atualizações. Além de manter o antivírus sempre em versão atualizada.
A área de serviços da SISNEMA conta com uma equipe qualificada e certificada nas mais diversas plataformas tecnológicas. Uma das principais preocupações são as medidas de segurança juntos aos clientes atendidos. Já que essa em geral representa uma ação pró-ativa contra ameaças e possíveis paradas. Mais informações entre em contato através do e-mail: serv@sisnema.com.br ou no telefone: (51) 3226-4111 com o departamento de serviços tecnológicos.
Publicação: 21/01/09
SISNEMA
The specified statement did not generate any data
|
