Depois de muito tempo sem escrever volto ao blog para delatar uma grande experiência e tentar ajudar os amigos administradores de redes a "Exterminar" este vírus que até a Microsoft deseja achar o criador...
Um breve resumo...
Utilizo o Trend Office Scan 8.0.
190 computadores.
Segunda Feira - 09 de Fevereiro de 2009 - 09:20
Fui surpreendido por diversas notificações de infecção apontando para o Downadup, dentro de alguns minutos o Domain Controller paralizou o serviços de DNS, DHCP... O tráfego ficou intenso e alguns usuários não acessavam a rede. Depois de algumas pesquisas sobre o vírus pude saber que o problema era muito sério e que se tratava de um vírus muito bem estruturado. Depois de algumas horas em busca da solução "perfeita" e mais rápida pude reunir algumas informações e
irei disponibilizar a vocês, tentando ajudar na solução:
Ações do vírus:
- Alto tráfego na porta 445 e 80;
- Lentidão na rede;
- Travamento de serviços como DNS impedindo a resolução de nomes na rede;
- Disparos em broadcast com objetivo de gerar ataques DOS (Denial off Serviçe - Negação de Serviço);
- Bloquea ação do antivírus;- Bloquea ação do Windows Update... etc.
Ações para eliminação do vírus:
1º PASSO
Antes de tentar qualquer ação, verifique se o Windows tem a instalação da patch KB958644 através do adicionar e remover programas do Windows, caso não tenha será necessário fazer o download no site abaixo (microsoft) e instalar;
Diante do que pesquisei, se esta patch estiver instalada não haverá tráfego na porta
445, a porta que o vírus explora e gera tráfego de dados.
Microsoft Security Bulletin MS08-067 – Criticalhttp://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Não vai adiantar executar outra ação sem primeiro atualizar a patch, pois corre o risco de nova infecção.
OBS.::: Esta distribuição da patch pode ser realizada via WSUS, caso contrario, terá que ser máquina a máquina.
OBS2.:: Caso a rede não tenha WSUS, utilize o range do Microsoft Baseline e identifique as máquinas na rede que não tem a atualização.
OBS3:: Pode disponibilizar a instalaçaõ da patch através de script:
Monte um script BAT com a linha abaixo, sendo necessário trocar as informações como nome de servidor e diretório. ->>> \\Servidor\Pasta\KB958644.exe /quiet /passive /norestart
2º PASSO
Como a ferramenta Trend tem a opção de firewall, eu pude verificar os tráfegos na rede e de onde originava-os; Caso não tenha esta ferramenta pode instalar um Sniffer (Wireshark) e analisar o tráfego na rede. Verá que vai existir muitos tráfegos apontando para a porta 445 , assim, vai até a estação identificada e executa as atividades.
Em um Domain Controler, se executarmos o comando netstat -an , será possivel identificar muitas ações na porta 445, geralmente mais de 100. Por isso que muitos foruns que li alguns administradores dizem que reinicia o servidor e após 10 ou 15 minutos ele cai. Isso por conta do ataque DOS (Denial off Serviçe - Negação de Serviço);
3º PASSO
Baixe uma das ferramentas abaixo para remover por completo o vírus, eu aconselho o MSRT da própria Microsoft, mais rápido e 100% de aproveitamento.
MSRT- http://www.microsoft.com/security/malwareremove/default.mspx
F-secure - ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
McAfee Avert Stinger - http://vil.nai.com/vil/stinger/
Kaspersky - http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip
DICA ESSENCIAL:
- Retire o cabo de rede;
- Logue na estação como administrador local;
- Rode a ferramenta (No caso do MSRT, selecione a opção FULL SCAN / SCAN COMPLETO)
- Reinicialize a máquina.
Obs.:: Retirei da rede por que tive momento que percebi ele mudar a variável. Para deixar de acontecer ocorrências e notificações, TODAS as máquinas da rede devem está atualizada (Patch e Rodar uma das ferramentas). Caso contrário, a máquina infectada irá enviar tráfego broadcast e assim o antívirus ficará constantemente notificando ocorrências de vírus na estação, enviando para Quarentena ou Deletando.
Espero ter ajudado os colegas, em caso de dúvidas me deixa um comentário ou envia email para alexandrof@gmail.com ou MSN - alexandrof@hotmail.com
Abraço e sucesso nas ações !
Reportagens sobre o vírus:
http://www.f-secure.com/weblog/archives/00001579.html
http://www1.folha.uol.com.br/folha/informatica/ult124u500165.shtml
http://www1.folha.uol.com.br/folha/informatica/ult124u490541.shtml
Quarta-feira, 18 de Fevereiro de 2009
Quarta-feira, 5 de Setembro de 2007
Windows Server 2008 - Informação Sobre o Último Logon
Esse é um daqueles controles simples mas efetivos: em um domínio Active Directory rodando o Windows Server 2008, os usuários podem receber após o logon as informações sobre o seu último logon bem sucedido, e sobre a última tentativa de logon sem sucesso.
Com isso o próprio usuário pode perceber (e eventualmente reportar) um acesso indevido à sua conta, ou tentativas de acesso incorretas que não foram feitas por ele.
Este recurso é habilitado através da opção de GPO Display information about previous logons during user logon, que está disponível para Windows Vista e Windows Server 2008 em Computer Configuration\Administrative Templates\Windows Components\Windows Logon Options.
Este recurso é habilitado através da opção de GPO Display information about previous logons during user logon, que está disponível para Windows Vista e Windows Server 2008 em Computer Configuration\Administrative Templates\Windows Components\Windows Logon Options.
Importante: Não habilite essa opção em um Active Directory que ainda não esteja rodando em modo Windows Server 2008, ou você terá problemas em se logar no Windows Vista.
Software gratuito permite conexão WiFi ponto-a-ponto
Cientistas do Instituto de Tecnologia Technion, de Israel, desenvolveram um novo software que permite a conexão direta sem fio entre computadores, utilizando a tecnologia WiFi, sem a necessidades de equipamentos intermediários, como roteadores.
O programa, que está disponível para download gratuitamente (veja link abaixo, no quadro Para navegar) permite a comunicação direta de computadores que estejam a distâncias de até 100 metros em ambiente fechado, ou até 300 metros em ambiente aberto.
A comunicação sem-fio ponto-a-ponto é interessante mas, segundo os cientistas, ela não é largamente utilizada pela grande dificuldade de configuração. O programa WiPeer facilita esse processo de configuração.
Telefone celular sem operadora
"Nós queremos levar isto para o maior número possível de pessoas," diz o professor Roy Friedman. "Quando há dois computadores na mesma sala, não faz sentido que eles tenham que se conectar à Internet para se comunicar. A grande vantagem do WiPeer é sua capacidade de manter as coisas locais."
Os cientistas afirmam que o próximo passo será adaptar o WiPeer para permitir a comunicação direta entre telefones celulares. Isso permitirá que os usuários se comuniquem sem necessidade da operadora, fazendo chamadas gratuitas para amigos que estiverem nas proximidades, como em escolas, parques de diversão e até no interior de grandes empresas.
Site para download : http://www.wipeer.com/download.html
Fonte : http://www.inovacaotecnologica.com.br/noticias/noticia.php?artigo=010150070507
O programa, que está disponível para download gratuitamente (veja link abaixo, no quadro Para navegar) permite a comunicação direta de computadores que estejam a distâncias de até 100 metros em ambiente fechado, ou até 300 metros em ambiente aberto.
A comunicação sem-fio ponto-a-ponto é interessante mas, segundo os cientistas, ela não é largamente utilizada pela grande dificuldade de configuração. O programa WiPeer facilita esse processo de configuração.
Telefone celular sem operadora
"Nós queremos levar isto para o maior número possível de pessoas," diz o professor Roy Friedman. "Quando há dois computadores na mesma sala, não faz sentido que eles tenham que se conectar à Internet para se comunicar. A grande vantagem do WiPeer é sua capacidade de manter as coisas locais."
Os cientistas afirmam que o próximo passo será adaptar o WiPeer para permitir a comunicação direta entre telefones celulares. Isso permitirá que os usuários se comuniquem sem necessidade da operadora, fazendo chamadas gratuitas para amigos que estiverem nas proximidades, como em escolas, parques de diversão e até no interior de grandes empresas.
Site para download : http://www.wipeer.com/download.html
Fonte : http://www.inovacaotecnologica.com.br/noticias/noticia.php?artigo=010150070507
Técnica evita vazamento de informações por email
Quem nunca enviou e-mail para um destinatário errado? Uma situação como essa pode ser apenas cômica ou constrangedora, dependendo do teor da mensagem. Mas a conseqüência tende a ser desastrosa quando se lida com informação sigilosa em ambientes empresariais, governamentais ou jurídicos.
Vazamento de informações
A fim de procurar evitar esse tipo de situação, o brasileiro Vitor Carvalho, pesquisador da Universidade Carnegie Mellon, nos Estados Unidos, desenvolveu um novo método para prevenção de vazamentos de informações por e-mail.
"É uma aplicação de inteligência artificial e processamento automático de linguagem natural que diminui substancialmente a probabilidade de ocorrerem vazamentos de informação. Em testes, o método detectou os envios de e-mails a destinatários indevidos em 82% dos casos", disse Carvalho à Agência FAPESP.
O trabalho fez parte da tese de doutorado de Carvalho, defendida no Instituto de Tecnologias de Linguagens da Universidade Carnegie Mellon, cuja pós-graduação em ciência da computação foi considerada a melhor dos Estados Unidos segundo comparativo divulgado este ano pela revista U.S. News & World Report. O método foi desenvolvido em conjunto com William Cohen, do Departamento de Inteligência Artificial.
Informações empresariais
Segundo Carvalho, a técnica foi patenteada provisoriamente e aguarda propostas para implementação em sistemas de larga escala de e-mail ou web-mail. "O potencial é muito grande, uma vez que o e-mail é um meio de comunicação usado por milhões. E, quanto maior a lista de contatos de uma pessoa ou organização, maior é a chance de um vazamento indesejado", disse.
Para o pesquisador, o método seria especialmente importante para as empresas que trabalham com segurança na internet e para organizações que lidam com dinheiro público ou privado. O pesquisador cita como exemplo um caso famoso de vazamento de informações confidenciais que ocorreu nos Estados Unidos em 2001.
"O governo da Califórnia enviou acidentalmente a uma lista de e-mails uma mensagem com dados sigilosos sobre a compra de uma empresa de energia. Como havia jornalistas na lista, a informação vazou e prejudicou as negociações, interferiu em futuras licitações e manchou a imagem de políticos", contou.
Um dos principais motivos de erros do tipo, segundo Carvalho, é que os programas de e-mail mais populares sugerem a complementação dos e-mails quando eles são digitados. "Às vezes, podemos digitar com pressa, ou dar uma resposta a todos os destinatários de e-mails anteriores. Isso é muito comum", disse.
Aprendizado de máquina
Com o novo método, à medida que se escreve a mensagem, o programa identifica tópicos e palavras-chave relacionados a listas de antigos destinatários. "Em uma coluna, aparece uma lista de destinatários mais e menos prováveis para determinado conteúdo. Se no fim da redação há nomes muito improváveis na lista, o sistema indica possibilidade de vazamento", explicou.
Para possibilitar o método, foi desenvolvido um algoritmo com base em técnicas de aprendizado de máquina e de modelos de linguagem. Enquanto se digita o e-mail, o sistema busca similaridades em textos de todas as mensagens anteriores.
"Ao identificar os termos, o sistema cruza dados com toda a lista de destinatários do histórico do programa de correio eletrônico. O sistema considera a freqüência de contatos com cada um deles, o quão recente foi o último contato e quantas vezes se falou com eles sobre determinados termos. Com isso, o sistema calcula a probabilidade de determinado assunto ter relação com cada destinatário", disse Carvalho.
No modelo implementado foi utilizada uma coleção de e-mails relacionada ao escândalo da empresa Enron, cujo acesso foi liberado pelo Ministério Público norte-americano após a concordata que se seguiu a uma série de denúncias de fraudes contábeis e fiscais.
"A coleção tem algumas centenas de milhares de mensagens e graças a ela pudemos testar a eficiência do método", afirmou Carvalho, que mora desde 2003 nos Estados Unidos e é graduado pela Universidade Federal de Pernambuco, com mestrado pela Universidade Estadual de Campinas.
Fonte : http://www.inovacaotecnologica.com.br/noticias/noticia.php?artigo=010150070704
Vazamento de informações
A fim de procurar evitar esse tipo de situação, o brasileiro Vitor Carvalho, pesquisador da Universidade Carnegie Mellon, nos Estados Unidos, desenvolveu um novo método para prevenção de vazamentos de informações por e-mail.
"É uma aplicação de inteligência artificial e processamento automático de linguagem natural que diminui substancialmente a probabilidade de ocorrerem vazamentos de informação. Em testes, o método detectou os envios de e-mails a destinatários indevidos em 82% dos casos", disse Carvalho à Agência FAPESP.
O trabalho fez parte da tese de doutorado de Carvalho, defendida no Instituto de Tecnologias de Linguagens da Universidade Carnegie Mellon, cuja pós-graduação em ciência da computação foi considerada a melhor dos Estados Unidos segundo comparativo divulgado este ano pela revista U.S. News & World Report. O método foi desenvolvido em conjunto com William Cohen, do Departamento de Inteligência Artificial.
Informações empresariais
Segundo Carvalho, a técnica foi patenteada provisoriamente e aguarda propostas para implementação em sistemas de larga escala de e-mail ou web-mail. "O potencial é muito grande, uma vez que o e-mail é um meio de comunicação usado por milhões. E, quanto maior a lista de contatos de uma pessoa ou organização, maior é a chance de um vazamento indesejado", disse.
Para o pesquisador, o método seria especialmente importante para as empresas que trabalham com segurança na internet e para organizações que lidam com dinheiro público ou privado. O pesquisador cita como exemplo um caso famoso de vazamento de informações confidenciais que ocorreu nos Estados Unidos em 2001.
"O governo da Califórnia enviou acidentalmente a uma lista de e-mails uma mensagem com dados sigilosos sobre a compra de uma empresa de energia. Como havia jornalistas na lista, a informação vazou e prejudicou as negociações, interferiu em futuras licitações e manchou a imagem de políticos", contou.
Um dos principais motivos de erros do tipo, segundo Carvalho, é que os programas de e-mail mais populares sugerem a complementação dos e-mails quando eles são digitados. "Às vezes, podemos digitar com pressa, ou dar uma resposta a todos os destinatários de e-mails anteriores. Isso é muito comum", disse.
Aprendizado de máquina
Com o novo método, à medida que se escreve a mensagem, o programa identifica tópicos e palavras-chave relacionados a listas de antigos destinatários. "Em uma coluna, aparece uma lista de destinatários mais e menos prováveis para determinado conteúdo. Se no fim da redação há nomes muito improváveis na lista, o sistema indica possibilidade de vazamento", explicou.
Para possibilitar o método, foi desenvolvido um algoritmo com base em técnicas de aprendizado de máquina e de modelos de linguagem. Enquanto se digita o e-mail, o sistema busca similaridades em textos de todas as mensagens anteriores.
"Ao identificar os termos, o sistema cruza dados com toda a lista de destinatários do histórico do programa de correio eletrônico. O sistema considera a freqüência de contatos com cada um deles, o quão recente foi o último contato e quantas vezes se falou com eles sobre determinados termos. Com isso, o sistema calcula a probabilidade de determinado assunto ter relação com cada destinatário", disse Carvalho.
No modelo implementado foi utilizada uma coleção de e-mails relacionada ao escândalo da empresa Enron, cujo acesso foi liberado pelo Ministério Público norte-americano após a concordata que se seguiu a uma série de denúncias de fraudes contábeis e fiscais.
"A coleção tem algumas centenas de milhares de mensagens e graças a ela pudemos testar a eficiência do método", afirmou Carvalho, que mora desde 2003 nos Estados Unidos e é graduado pela Universidade Federal de Pernambuco, com mestrado pela Universidade Estadual de Campinas.
Fonte : http://www.inovacaotecnologica.com.br/noticias/noticia.php?artigo=010150070704
Criptografia quântica foi hackeada.
Nem bem a criptografia quântica chegou e cientistas afirmam que já conseguiram quebrar seus segredos. A criptografia quântica se baseia nas leis da mecânica quântica e a maioria dos cientistas considerava que redes quânticas seriam 100% seguras.
"Grampo" quântico
Um grupo de pesquisadores do MIT, Estados Unidos, conseguiu espionar uma transmissão usando uma espécie de "grampo quântico", uma técnica parecida com aquela utilizada para se escutar ligações telefônicas.
O método de espionagem e quebra da segurança não é totalmente eficaz, já que foi possível decodificar apenas metade da mensagem. Mas 50% é muito para uma rede que se considerava 100% à prova de hackers. E mais, acreditava-se ser impossível espionar uma transmissão desse tipo sem ser detectado - mas não é.
Só no laboratório
Os pesquisadores admitem que sua técnica ainda não é capaz de permitir a espionagem de uma rede real. "Não é algo que atualmente possa ser utilizado para atacar um sistema comercial," diz o físico Jeffrey Shapiro.
O sistema de criptografia quântica é tido como à prova de espionagem porque qualquer um que tente interceptar a mensagem vai quebrar a polarização do fóton coletado. Isso afeta a capacidade que o receptor tem de medí-lo corretamente. A espionagem então aparece na forma de um pico na taxa de erros da transmissão.
Entrelaçamento de partículas
Shapiro e seus colegas conseguiram contornar essa dificuldade usando um princípio físico chamado entrelaçamento, que conecta duas partículas. Utilizando um aparato óptico, eles entrelaçaram a polarização do fóton transmitido com seu momento. O espião pode então medir o momento a fim de obter informação sobre a polarização, sem afetar a polarização original.
Essa técnica não é perfeita, o que responde pelo fato de que foi possível ler apenas metade da mensagem. Nas outras vezes, o próprio processo de entrelaçamento afetou a polarização do fóton e o erro apareceu. A teoria afirma que é possível construir um aparato que não destrua nem altere os fótons, mas até hoje ninguém conseguiu construir um desses.
Bibliografia:
Complete physical simulation of the entangling-probe attack on the Bennett-Brassard 1984 protocolTaehyun Kim, Ingo Stork genannt Wersborg, Franco N. C. Wong, Jeffrey H. ShapiroPhysical Review AVol.: 75, 042327 (2007)DOI: 10.1103/PhysRevA.75.042327
Fonte : http://www.inovacaotecnologica.com.br/noticias/noticia.php?artigo=010150070802
"Grampo" quântico
Um grupo de pesquisadores do MIT, Estados Unidos, conseguiu espionar uma transmissão usando uma espécie de "grampo quântico", uma técnica parecida com aquela utilizada para se escutar ligações telefônicas.
O método de espionagem e quebra da segurança não é totalmente eficaz, já que foi possível decodificar apenas metade da mensagem. Mas 50% é muito para uma rede que se considerava 100% à prova de hackers. E mais, acreditava-se ser impossível espionar uma transmissão desse tipo sem ser detectado - mas não é.
Só no laboratório
Os pesquisadores admitem que sua técnica ainda não é capaz de permitir a espionagem de uma rede real. "Não é algo que atualmente possa ser utilizado para atacar um sistema comercial," diz o físico Jeffrey Shapiro.
O sistema de criptografia quântica é tido como à prova de espionagem porque qualquer um que tente interceptar a mensagem vai quebrar a polarização do fóton coletado. Isso afeta a capacidade que o receptor tem de medí-lo corretamente. A espionagem então aparece na forma de um pico na taxa de erros da transmissão.
Entrelaçamento de partículas
Shapiro e seus colegas conseguiram contornar essa dificuldade usando um princípio físico chamado entrelaçamento, que conecta duas partículas. Utilizando um aparato óptico, eles entrelaçaram a polarização do fóton transmitido com seu momento. O espião pode então medir o momento a fim de obter informação sobre a polarização, sem afetar a polarização original.
Essa técnica não é perfeita, o que responde pelo fato de que foi possível ler apenas metade da mensagem. Nas outras vezes, o próprio processo de entrelaçamento afetou a polarização do fóton e o erro apareceu. A teoria afirma que é possível construir um aparato que não destrua nem altere os fótons, mas até hoje ninguém conseguiu construir um desses.
Bibliografia:
Complete physical simulation of the entangling-probe attack on the Bennett-Brassard 1984 protocolTaehyun Kim, Ingo Stork genannt Wersborg, Franco N. C. Wong, Jeffrey H. ShapiroPhysical Review AVol.: 75, 042327 (2007)DOI: 10.1103/PhysRevA.75.042327
Fonte : http://www.inovacaotecnologica.com.br/noticias/noticia.php?artigo=010150070802
Assinar:
Postagens (Atom)
