Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Silas Martins

Tutorial de remoção do Conficker

Recommended Posts

Bom essa praga vem dando dores de cabeça a muita gente. Por esse motivo e por não encontrar nada aconselhando as pessoas a como se portar caso contraiam tal infecção resolvi criar esse tuto.

Bom primeiro vamos aos dados técnicos:

 

Nomes dados/alias:

* WORM_DOWNAD.AD

* W32/Conficker.worm

* Worm:Win32/Conficker.gen!A

* Worm:W32/Downadup

* Net-Worm.Win32.Kido

 

Tipo:

Comportamento malicioso

 

Nível de danos:

Alto

 

Entradas:

C:\Windows\system32\zdtnx.g

C:\Windows\system32\kdcktv.dll

HKLM\SYSTEM\CurrentControlSet\Services\<Nome do serviço utilizado>

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs

<Contaminado por mídia removivel> \autorun.inf

<Contaminado por mídia removivel> RECYCLER\S-x-x-x-xxx-xxx-xxx-x\ <nome do serviço utilizado no lugar do X>

\\.\pipe\System_<Computer name>7

 

Sites onde se pode ser contaminado por esse "Verme" ou worm como preferirem:

www.whatsmyipaddress.com

www.getmyip.org

www.whatismyip.org

checkip.dyndns.org

Sites que o worn te redireciona:

www.myspace.com

www.ebay.com

www.msn.com

www.cnn.com

www.aol.com

 

Termos de segurança bloqueados pelo worm (assim ele impossibilita a sua visita a um site como www.kasperskylab.com:

cert.

sans.

bit9.

vet.

avg.

avp.

ca.

nai.

windowsupdate

wilderssecurity

threatexpert

castlecops

spamhaus

cpsecure

arcabit

emsisoft

sunbelt

securecomputing

rising

prevx

pctools

norman

k7computing

ikarus

hauri

hacksoft

gdata

fortinet

ewido

clamav

comodo

quickheal

avira

avast

esafe

ahnlab

centralcommand

drweb

grisoft

eset

nod32

f-prot

jotti

kaspersky

f-secure

computerassociates

networkassociates

etrust

panda

sophos

trendmicro

mcafee

norton

symantec

microsoft

defender

rootkit

malware

spyware

virus

 

Dados gerais revistos agora é hora de explicar como o wrom vem agindo, bom ele tem vários modo de infectar sua maquina o mais comum é por e-mail e pen-drives, porém ele esta sendo reconhecido por utilizar uam fraqueza no sistema de atualização do Windows fazendo assim que o sistema fique vulnerável a mais ataques. O ideal no momento é fazer as atualizações manualmente até que essa praga já esteja sobre total controle.

 

Por fazer uso de uma ferramenta MS a própia MS desenvolveu uma vacina para o Conficker ou W32/Confick. A fraqueza que ele explora foi temporariamente removida pela MS através da atualização de número:MS08-067 .

O fato é que mesmo depois de ter a vacina isso não impede que você contraia novamente o worm pelo contrário ela só servirá caso você tenha a infecção alojada ai no sue sistema.

Remoção

Para remoção desta infecção é preciso paciência pois geralmente não é um processo ágil.

Para remover você vai precisar de seu antivirus bem atualizado.

Uma ferramenta anti-rootkit (indico o Sophos)

Ferramenta de remoção da MS

Desabilite e Reabilite a função de Restauração Automática do XP.

Só Reabilite assim que terminar a desinfecção.

KidoKiller by Kaspersky

Baixe, execute logo após ira parecer uma tela do DOS, (em alguns casos é pedido opção de escolha, caso ocorra escolha-y)

 

Evite baixar anexos, atualize seu browser, tenha sempre um sistema de segurança atualizado (Comodo InternetSecurity é ótimo). Crie senha difíceis pois esse virus tem por característica fazer seu pc um 'zumbi"(controlado remotamente) e roubar senhas suas.

Seguindo esses passos você terá grandes chances de ficar livre dessa praga só lembrando que a mesma referida praga é mutante ou seja o código pode ser alterado e derrepente de nada adiantar todo o processo, por isso a importância de uma central de segurança BOA

 

 

Dicas adicionais para quem tem um Server:

Desabilitar o File and Printer Sharing for Microsoft Networks.

Essa dica é exclusiva para aqueles que utilizam sistemas operacionais server.(WIndows Server)*

 

Bom fico por aqui qualquer adicional que eu descobri irei adicionando.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Excelente Silas!

 

Quando chega em casa já vejo se tou infectado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

otimo tuto silas

 

deve ser muito util

Compartilhar este post


Link para o post
Compartilhar em outros sites

Silas dar pra ver ele pelo Hijackthis.?

Compartilhar este post


Link para o post
Compartilhar em outros sites

daqui a pouco saberemos o tamanho da coisa

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ja usei essa ferramenta a um tempo atraz.. A "Stinger"

 

 

McAfee AVERT Stinger é um utilitário para detectar e remover vírus específicos.

Não se trata de um substituto para o antivírus, mas uma ferramenta melhor

para ajudar os administradores e usuários a lidarem com sistemas infectados.

 

Stinger utiliza uma nova geração de mecanismos de busca, incluindo processamento de buscas,

arquivos com assinaturas digitais DAT e otimizações de performance.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Muito bom mesmo...

 

Mas olha só o meu problema, eu não consigo acessar nenhum desses sites, eu não consigo entrar em modo se segurança, meu antivirus (avast) não atualiza e nem dá pra excluir, e tentei instalar o avg mais ele tbm vem desatualizado... você acha que a minha unica solução é formatar o pc?

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.