Depois de muito tempo sem escrever volto ao blog para delatar uma grande experiência e tentar ajudar os amigos administradores de redes a "Exterminar" este vírus que até a Microsoft deseja achar o criador...
Um breve resumo...
Utilizo o Trend Office Scan 8.0.
190 computadores.
Segunda Feira - 09 de Fevereiro de 2009 - 09:20
Fui surpreendido por diversas notificações de infecção apontando para o Downadup, dentro de alguns minutos o Domain Controller paralizou o serviços de DNS, DHCP... O tráfego ficou intenso e alguns usuários não acessavam a rede. Depois de algumas pesquisas sobre o vírus pude saber que o problema era muito sério e que se tratava de um vírus muito bem estruturado. Depois de algumas horas em busca da solução "perfeita" e mais rápida pude reunir algumas informações e
irei disponibilizar a vocês, tentando ajudar na solução:
Ações do vírus:
- Alto tráfego na porta 445 e 80;
- Lentidão na rede;
- Travamento de serviços como DNS impedindo a resolução de nomes na rede;
- Disparos em broadcast com objetivo de gerar ataques DOS (Denial off Serviçe - Negação de Serviço);
- Bloquea ação do antivírus;- Bloquea ação do Windows Update... etc.
Ações para eliminação do vírus:
1º PASSO
Antes de tentar qualquer ação, verifique se o Windows tem a instalação da patch KB958644 através do adicionar e remover programas do Windows, caso não tenha será necessário fazer o download no site abaixo (microsoft) e instalar;
Diante do que pesquisei, se esta patch estiver instalada não haverá tráfego na porta
445, a porta que o vírus explora e gera tráfego de dados.
Microsoft Security Bulletin MS08-067 – Criticalhttp://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Não vai adiantar executar outra ação sem primeiro atualizar a patch, pois corre o risco de nova infecção.
OBS.::: Esta distribuição da patch pode ser realizada via WSUS, caso contrario, terá que ser máquina a máquina.
OBS2.:: Caso a rede não tenha WSUS, utilize o range do Microsoft Baseline e identifique as máquinas na rede que não tem a atualização.
OBS3:: Pode disponibilizar a instalaçaõ da patch através de script:
Monte um script BAT com a linha abaixo, sendo necessário trocar as informações como nome de servidor e diretório. ->>> \\Servidor\Pasta\KB958644.exe /quiet /passive /norestart
2º PASSO
Como a ferramenta Trend tem a opção de firewall, eu pude verificar os tráfegos na rede e de onde originava-os; Caso não tenha esta ferramenta pode instalar um Sniffer (Wireshark) e analisar o tráfego na rede. Verá que vai existir muitos tráfegos apontando para a porta 445 , assim, vai até a estação identificada e executa as atividades.
Em um Domain Controler, se executarmos o comando netstat -an , será possivel identificar muitas ações na porta 445, geralmente mais de 100. Por isso que muitos foruns que li alguns administradores dizem que reinicia o servidor e após 10 ou 15 minutos ele cai. Isso por conta do ataque DOS (Denial off Serviçe - Negação de Serviço);
3º PASSO
Baixe uma das ferramentas abaixo para remover por completo o vírus, eu aconselho o MSRT da própria Microsoft, mais rápido e 100% de aproveitamento.
MSRT- http://www.microsoft.com/security/malwareremove/default.mspx
F-secure - ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
McAfee Avert Stinger - http://vil.nai.com/vil/stinger/
Kaspersky - http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip
DICA ESSENCIAL:
- Retire o cabo de rede;
- Logue na estação como administrador local;
- Rode a ferramenta (No caso do MSRT, selecione a opção FULL SCAN / SCAN COMPLETO)
- Reinicialize a máquina.
Obs.:: Retirei da rede por que tive momento que percebi ele mudar a variável. Para deixar de acontecer ocorrências e notificações, TODAS as máquinas da rede devem está atualizada (Patch e Rodar uma das ferramentas). Caso contrário, a máquina infectada irá enviar tráfego broadcast e assim o antívirus ficará constantemente notificando ocorrências de vírus na estação, enviando para Quarentena ou Deletando.
Espero ter ajudado os colegas, em caso de dúvidas me deixa um comentário ou envia email para alexandrof@gmail.com ou MSN - alexandrof@hotmail.com
Abraço e sucesso nas ações !
Reportagens sobre o vírus:
http://www.f-secure.com/weblog/archives/00001579.html
http://www1.folha.uol.com.br/folha/informatica/ult124u500165.shtml
http://www1.folha.uol.com.br/folha/informatica/ult124u490541.shtml
Você acha este blog interessante ?
Filmes
- Caçada Virtual
- Piratas de Computadores
- AntiTrust
- Firewall
- Prenda-me se for Capaz
- Onze homens e um segredo
- A Senha
- Quebra de Sigilo
Alguns Links
Livros
- Política de Segurança da Informação: Guia Prático para Elaboração e Implementação - Livraria Módulo.
- A arte de Enganar
- A arte de Invadir
- A Arte da Guerra
- Construindo uma Vida
- O Monge e o executivo
- A Estratégia do Oceano Azul
Postagem