1

UNIRONDON CENTRO UNIVERSITÁRIO

MARCOS VINICIUS GOULART

ATUAÇÃO DO VÍRUS CONFICKER

Cuiabá
2009.
 2

MARCOS VINICIUS GOULART

ATUAÇÃO DO VÍRUS CONFICKER

Trabalho de conclusão de curso apresentado

como parte das atividades para obtenção do título
de Bacharel em Ciência da Computação, do curso
de Ciência da Computação da Faculdade do curso
de Ciência da Computação da Fundação
UNIRONDON área de concentração em
informática.

Orientador: Prof°André Valente do Couto

Cuiabá
2009
 3

MARCOS VINICIUS GOULART

ATUAÇÃO DO VÍRUS CONFICKER

Trabalho de conclusão de curso apresentado

como parte das atividades para obtenção do títu-
lo de Bacharel em Ciência da Computação, do
curso de Ciência da Computação da Faculdade
do curso de Ciência da Computação da Funda-
ção UNIRONDON área de concentração em in-
formática

Aprovado em 04 de dezembro de 2009.

BANCA EXAMINADORA

__________________________________________
Prof. André Couto Valente
Unirondon Centro Universitário

__________________________________________
Prof. Andersown Becher Paes de Barros
Unirondon Centro Universitário

__________________________________________
Prof. Reginaldo Hugo Szezupior dos Santos
Unirondon Centro Universitário
 4

Dedico este trabalho aqueles que, direta ou indiretamente, colaboraram

oferecendo sugestões, fazendo leitura ou discutindo particularidades.
 5

Agradeço a todos os que me ajudaram na elaboração deste trabalho

especialmente o meu orientador: André Valente do Couto e a professora - Renata
Bortoluz que não mediram esforços. E aos meus familiares que com sabedoria me
conduziram no caminho da vida.
 6

Inclina o ouvido, e ouve as palavras dos sábios, e aplica o

teu coração ao meu conhecimento.

Proverbios 22:11
 7

RESUMO

O crescente número de contaminações de vírus de computador na atual década tem

levado várias empresas na área de segurança da informação a se tornar mais espe-
cializadas nestes tipos de pragas e variantes, que vem se alastrando cada vez em
uma velocidade crescente, destruindo e roubando informações, trazendo milhões de
reais em prejuízo para as empresas e computadores pessoais. O grande aumento
vem assustando de maneira grandiosa, com base na atual década a 1.650.277 mi-
lhões de vírus conhecidos ou assinaturas de vírus, perfazendo que os vírus feitos
pelos os Hackers têm uma abrangência muito diferente daquela época. Os Hackers
são pessoas que atacam outras máquinas com fins criminosos com um objetivo tra-
çado: capturar senhas bancárias, números de conta e informações privilegiadas que
lhes despertem a atenção. As ameaças da internet geraram prejuízos de US$ 13,3
bilhões às empresas em todo o mundo, a pesquisa inclui os vírus spyware, adware,
vírus de banker, limpezas feitas pelos antivírus, baixa produtividade por causa de
sistema lento e a quantidade de tempo para a restauração do sistema contaminado.
Prevendo isso pode-se detalhar as situações possíveis dos computadores da atual
década e detalhar um dos vírus mais famosos de devastadores desta época, levan-
tando as soluções possíveis para a prevenção contra os vírus de computador e de-
mais pragas. Atuando com diferentes antivírus para fazer o scan nos computadores
e das redes. O detalhamento será da seguinte forma, atividade na rede, conexões
de rede, estatísticas de objetos infectados e limpos, contaminação de documentos,
e-mail, acesso a web, programas limpos, programas infectados, programas perigo-
sos e programas maliciosos.

Palavras-chave: Vírus de computador, keylloger, spyware, tronjans, antivírus.

 8

ABSTRACT

The increasing number of contaminations of virus of computer in the current decade

has led varies companies in the area of security of the information if to become more
specialized in these types of plagues and variants, that come if spreading each time
in increasing speed, destroying and stealing information, bringing personal Real mil-
lions in damage for companies and computers. The great increase comes scaring in
huge way, on the basis of the current decade has 1.650.277 million known viruses or
assi of virus, perfazendo that the viruses made for the Hackers have a very different
abragencia of that time. Hackers is people who attack other machines with criminal
ends with a traced objective: to capture banking passwords, numbers of account and
privileged information that them despertem the attention. The threats of the Internet
had generated US$ damages 13,3 billion to the companies in the whole world, the
research include the viruses spyware, adware, virus of banker, cleannesses made
for the antiviruses, low productivity because of slow system and the amount of time
for the restoration of the contaminated system. Foreseeing this we will go to detail
the possible situções of the computers of the current decade and to detail one of the
viruses fomosos of devastadores of this time, being raised the possible solutions for
the prevention against the viruses of computer and too much plagues. We will go to
use different antiviruses for the scaniamento of the computers and the nets. The de-
tailing will be of the following form, activity in the net, connections of net, infectados
and clean object statisticians, document contamination, email, clean access web,
programs, infectados programs, dangerous programs and malicious programs.

Keywords: computer viruses, keylloger, spyware, tronjans, antivirus.

 9

LISTA DE ILUSTRAÇÕES

Figura 1 Novas assisnaturas de códigos maliciosos ................................................ 20

Figura 2 Infecções no mundo .................................................................................. 20
Figura 3 Abrindo arquivos no USB .......................................................................... 24
Figura 4 Generalização do Conficker ...................................................................... 25
Figura 7 svchost.exe ............................................................................................... 29
Figura 8 Autorun.inf infectado ................................................................................. 30
Figura 9 Arquivo jwgkvsq.vmx ................................................................................. 31
Figura 10 Permissão da chave de registro .............................................................. 32
Figura 11 Código de geração de domínio ............................................................... 33
Figura 12 Aumento de trafego ................................................................................. 34
Figura 13 Acessando sites bloqueados pelo Conficker ........................................... 35
Figura 15 Serviços desabilitados pelo Conficker..................................................... 37
Figura 16 Atualização Automática ........................................................................... 38
Figura 17 Desabilitando o Windows Defender ........................................................ 39
Figura 18 Central de segurança desabilitado pelo Conficker .................................. 40
Figura 19 Tarefa agendada pelo Conficker ............................................................. 41
Figura 20 Abrindo uma tarefa agendada pelo vírus ................................................ 42
Figura 21 Infecção via rede P2P ............................................................................. 43
Figura 22 Abertura de arquivo duplicado................................................................. 45
Figura 23 Abrir pasta certa ..................................................................................... 46
Figura 24 Alteração de registro de USB .................................................................. 47
Figura 25 Antivírus detectando Conficker................................................................. 47
Figura 26 Windows Update ..................................................................................... 49
Figura 27 Windows Update diferente ...................................................................... 50
Figura 28 Avast ....................................................................................................... 51
Figura 29 AVG ......................................................................................................... 51
Figura 30 AVIRA ....................................................................................................... 52
Figura 31 Kasperky ................................................................................................. 53
Figura 32 NOD32 .................................................................................................... 54
Figura 33 Aumento de trafego na rede..................................................................... 56
Figura 34 Inserir sites bloqueados .......................................................................... 57
Figura 36 Infected ................................................................................................... 59
Figura 37 Vulnerable ............................................................................................... 60
Figura 38 Fixed ....................................................................................................... 61
 10

SUMÁRIO

Introdução ................................................................................................................ 11
1 Os vírus de computador .................................................................................... 13
1.1 A tecnologia ................................................................................................................ 13
1.1.1 Perigos da tecnologia ................................................................................................................... 14
1.2 O que é um vírus? ...................................................................................................... 15
1.2.1 História dos Vírus ......................................................................................................................... 15
1.2.2 Tipos de vírus ............................................................................................................................... 19
1.2.3 Estatísticas de vírus ..................................................................................................................... 19
1.2.4 Vírus a ser estudado .................................................................................................................... 21
2 O Conficker ..................................................................................................... 22
2.1 Caracteristicas ............................................................................................................ 23
2.1.1 Diretórios ...................................................................................................................................... 26
2.1.2 Contaminação do registro ............................................................................................................ 27
2.1.3 Infecção USB ............................................................................................................................... 30
2.1.4 Infecção via internet ..................................................................................................................... 31
2.1.5 Sintomas da infecção da rede ...................................................................................................... 34
2.1.6 Ativação do agendador de tarefas ............................................................................................... 40
2.1.7 Infecção via P2P .......................................................................................................................... 42
2.2 Remoção e prevenção................................................................................................ 44
2.2.1 Atualização Crítica ....................................................................................................................... 48
2.2.2 Firewall ......................................................................................................................................... 54
2.2.3 Administradores de rede .............................................................................................................. 58
2.2.4 Prevenções gerais........................................................................................................................ 61
Considerações finais .............................................................................................. 63
Referências bibliográficas...................................................................................... 65
 11

INTRODUÇÃO

Considerando que os computadores das redes mundiais não estão 100% segu-
ros, necessitam de uma segurança muito maior por necessidade dos usuários não
se darem conta das vulnerabilidades que se encontram nos sistemas que estão u-
sando. Usuários dos computadores guardam arquivos importantes, digitam senhas
de diversos tipos, como senhas de emails, sistemas para acesso restrito, comunida-
des, acessam bancos e dentro outras informações preciosas, estando assim cor-
rendo vários perigos como perda de dados, roubo de dados, lentidão nos sistemas e
o corrompimento das informações; através deste estudo, irei conceder uma maior
segurança de informação dos dados e dos sistemas, protegendo conforme concep-
ções apresentadas por nossos testes, com vírus mais atual e famoso desta época,
dissecando-o e mostrado suas formas de atuações, seu código fonte e o bloqueio
destes vírus. Com estes dados pode-se elaborar um estudo detalhado, produzindo
estatísticas de vírus e suas variantes.

Tendo em mãos estes dados, pode-se classificar os programas maliciosos

(Malware) que são criados para provocar danos ao computador e ao seu utilizador:
por exemplo, para roubar, bloquear, alterar ou apagar informação ou para perturbar
o funcionamento de um computador ou de uma rede de computadores e os progra-
mas potencialmente indesejados, ao contrário dos programas maliciosos, que não
se destinam unicamente a provocar danos, mas podem ajudar a penetrar no siste-
ma de segurança de um computador, para produzir detalhadamente às formas de
contaminações segundo o estudo e também as melhores proteções para estes tipos
de contaminações, evitando assim as contaminações destas pragas virtuais.

Com o conceito de uma cultura de atualização de software, práticas bem elabo-

radas de proteção em tempo real (análise heurística), utilização de software livre
aonde não existe estes tipos de contaminações, limpeza de arquivos aonde se pode
encontrar tais pragas virtuais, criação e recuperação de disco, monitoramento de
rede em tempo real para que possam encontrar anormalidades, bloqueio de arquivo
auto executáveis ou autorun e correção de falhas do sistema com o conceito de que
 12

sistemas atualizados estão muito mais seguros do que sistemas que não atualizam
ou corrigem suas falhas.

Nesse contexto, inserem-se a importância de estudos relativos ao nível de con-

taminações propostas deste vírus atual que tem infectado milhões de computadores
apresentando seus efeitos no mesmo dia. O presente trabalho teve como objetivo
avaliar o nível de proteção e perdas provocadas por vírus no século atual.

Esta pesquisa pretende analisar a contaminação do vírus conficker nos sistemas

oepracionais Windows XP.

Indentificar a propagação do vírus conficker nos Sistemas Operacionais do Win-

dows XP.

Investigar o comprometimento do Sistema Operacional na apresentação do

Conficker.

Investigar as formas de contaminação do Conficker e descrever a forma de re-

moção do Conficker.
 13

1 OS VÍRUS DE COMPUTADOR

A sabedoria é a coisa principal; adquire pois a

sabedoria, emprega tudo o que possuis na
aquisição de entendimento.
Provérbios 4:7

1.1 A tecnologia

Para compreender os aspectos referentes à tecnologia, o primeiro passo consis-

te em discutir o que é tecnologia.

Para Goodman (1990), além de presente em todas as formas de organização, a

tecnologia é também uma potente força. Ela pode estender as capacitações huma-
nas. A revolução industrial por exemplo, utilizou tecnologia para estender a capaci-
dade física de trabalho. De forma análoga, a revolução da informática está esten-
dendo as nossas capacitações mentais e redistribuindo o tempo que gastamos nas
diversas atividades.

Segundo ainda o mesmo autor, a tecnologia é dinâmica e evolui rapidamente. O

seu desenvolvimento está longe de terminar. O rápido desenvolvimento das novas
formas de tecnologia dificultam identificar como as novas formas de organização
aparecerão no futuro.

Para Orrico (2004) as tecnologias estão se multiplicando muito rápido, mas al-
gumas destas são desenvolvidas não para nos auxiliar na melhoria, mas sim muitas
vezes são ameaçadoras o suficiente e poderosa para a destruição. Estes são co-
nhecidas como vírus de computador.

O autor ainda faz uma afirmação que somente as pessoas com conhecimen-
to avançado de programação criavam vírus, devido ao nível de linguagem de que
era requisitado e uma abrangência de conhecimento do programador que estava em
questão. Hoje é bem diferente, pois já existem vários programas que criam vírus ao
gosto dos usuários, e também empresas fictícias que cobram um serviço por deter-
minação do cliente, a exemplo de um roubo de banco de dados.
 14

Por estas questões, ficar atualizados, atentos e preparados é a melhor opção

para combater e identificar os vírus infestados em nossos computadores, para que
não passe por estes maus percalços.

1.1.1 Perigos da tecnologia

Os problemas que estão cada vez mais recorrentes nas pessoas que desfrutam
do uso dos computadores é a falta de segurança, a tecnologia está tomando mais e
mais espaço na vida de cada um. A cada dia o número de ações maliciosas e en-
ganadoras aumenta, sem muitas vezes nos dar-se conta que existem espiões den-
tro de nossos computadores, como Hackers, crackers e outros que estão tentando
ganhar acesso aos nossos dados, utilizando-os em seu proveito e nos causando
problemas. Para aqueles que vão, além disto, pode-se dizer que nossas vidas fa-
zem parte de um Big Brother, sendo verificadas em todos os dias por Hackers, que
desenvolveram vírus que capturam todos os nossos dados (ROHR, 2009).

Conforme ainda o mesmo autor, se de um lado há a ameaça pessoal por falta

de segurança, de outro pode-se conviver com o crescente número de pragas virtu-
ais. Como a cada dia no mundo existem assaltos, assassinatos, roubos e dentro ou-
tros, no mundo virtual não seria diferente, mas com um pouco mais de criatividade.
Ter todos os cuidados, evitando as infecções, será uma ótima escolha. Mas tudo se
pode fazer não é suficiente e sempre há a possibilidade de um desses organismos
virtuais penetrarem em uma máquina, causando problema, pois as tecnologias são
feitas pelos próprios homens, sempre estajam sujeitas às vulnerabilidades, por isso
não existe um sistema 100% confiável.

Hoje, para cada medida de defesa há uma infinidade de ataques que ao menos
nunca ainda nunca se viu ou se tem pouco conhecimento. E tanto é assim que as
empresas dedicadas à segurança estão sempre um passo atrás de quem, do outro
lado, cuida do desenvolvimento deste tipo de ação, seja em relação a vírus ou a ou-
tros programas mal intencionados, a sempre uma mente brilhante trabalhando para
a destruição de informações, procurando sempre uma brecha para entrar (ROHR,
2009).
 15

1.2 O que é um vírus?

De acordo com o pesquisador Cohen (1983) Vírus é um tipo de programa. Exis-

tem suas diferenças na codificação, mas, no entanto é executado da mesma forma
que um programa comum, a grande diferença está no que o programa faz. O vírus
tem seu código perigoso aos sistemas operacionais, aos drives, programas e docu-
mentos que poderão ser apagados ou danificados.

Um vírus ou praga virtual é um código de máquina que se anexa a um programa

ou arquivo para poder se espalhar entre os computadores da mesma rede, infectan-
do-os à medida que se é executado. Ele infecta enquanto se vai para outros compu-
tadores ou arquivos. Os vírus podem danificar seu software, hardware e arquivos
(MICROSOFT, 2009)¹.

“Vírus, WORMs e cavalos de Tróia são programas mal-intencionados que

podem causar danos ao seu computador e às informações armazenadas
nele. Também podem deixar a Internet mais lenta e usar o seu computador
para espalharem-se entre os seus amigos, familiares, colegas de trabalho e
o restante da Web. A boa notícia é que, com prevenção e algum bom senso,
você terá menos probabilidade de ser vítima dessas ameaças.” (Microsoft,
1
2009) .

De acordo com Orrico (2004, p. 51) os códigos maliciosos são gerados como
executáveis tanto em pendrivers, browsers e nos sistemas operacionais, podem ser
replicados e executados. Depois de executados ficam na memória, procurando to-
das as unidades disponíveis tanto no computador, na rede ou internet para ser repli-
cados e executados pelas possíveis vítimas.

1.2.1 História dos Vírus

Os tradicionais vírus de computador foram amplamente percebidos pela primeira

vez no final da década de 80, e seu surgimento deve-se a vários fatores. O primeiro
fator foi à proliferação dos computadores pessoais. Antes da década de 80 os com-
putadores residenciais praticamente não existiam ou eram simples brinquedos.
Computadores "de fato" eram raros e tinham o seu uso restrito aos "experts". Duran-
te a década de 80 os computadores começaram a se difundir nos escritórios e nas
casas devido à popularidade do IBM PC (lançado em 1982) e do Apple Macintosh

1
MICROSOFT. O que são vírus, worms e cavalos de Tróia?. Disponível em:
<http://www.microsoft.com/brasil/athome/security/viruses/virus101.mspx>. Acesso em 2 dez. 2009.
 16

(lançado em 1984). No final da década de 80, os PCs já estavam bem difundidos

em escritórios, residências e campus universitários (BRAIN, 2009).

Conforme a pesquisa de Cohen (1984) em seu paper “Experiments with Compu-

ter Viruses” onde nesse documento ele relata e também batiza os programas de có-
digos nocivos como “Vírus de Computador”. Neste estudo ele mostra a seguinte
evolução do vírus:

1986 - PC Cyborg Trojan - Também conhecido como “Aids Info

Disk”, foi o primeiro código malicioso com um objetivo financeiro
claro. Ele “seqüestrava” o computador da vítima e impedia o a-
cesso aos arquivos, renomeando-os. Para tê-los de volta, o vírus
pedia que US$ 378 fossem enviados a um endereço no Panamá.

1987 – Surge o primeiro Vírus de Computador escrito por dois ir-

mãos: Basit e Amjad que foi batizado como ‘Brain’, apesar de ser
conhecido também como: Lahore, Brain-a, Pakistani, Pakistani
Brain, e UIU. O Vírus Brain documentado como ‘Vírus de Boot’,
infectava o setor de inicialização do disco rígido, e sua propaga-
ção era através de um disquete que ocupava 3k, quando o boot
ocorria, ele se transferia para o endereço da memória
“0000:7C00h” da BIOS que o automaticamente o executava.

1988 – Surge o primeiro Antivírus, por Denny Yanuar Ramdhani

em Bandung, Indonésia. O primeiro Antivírus a imunizar sistema
contra o vírus Brain, onde ele extrai as entradas do vírus do com-
putador em seguida imunizava o sistema contra outros ataques
da mesma praga

1989 – Aparece o Dark Avenger, o qual vem contaminando rapi-

damente os computadores, mas o estrago é bem lento, permitin-
do que o vírus passe despercebido. A IBM fornece o primeiro an-
tivírus comercial. No início do ano de 1989, apenas 9% das em-
presas pesquisadas tinha um vírus. No final do ano, esse número
veio para 63%.

1990 - A família Chameleon é o começo de uma história de vírus

polimórficos modificava a si mesma, assim que se instala.
 17

1992 – Michelangelo, o primeiro vírus a aparecer na mídia. É pro-

gramado para sobregravar partes das unidades de disco rígido
criando pastas e arquivos com conteúdos falsos em 6 de março,
dia do nascimento do artista da Renascença. As vendas de soft-
ware antivírus subiram rapidamente.

1994 – Nome do vírus Pathogen, feito na Inglaterra, autor do vírus

chamado Scotland Yard, foi condenado a 18 meses de prisão. É
a primeira vez que o autor de um vírus é processado por dissemi-
nar código destruidor.

1995 – Nome do vírus Concept, o primeiro vírus de macro. Escrito

em linguagem Word Basic da Microsoft, pode ser executado em
qualquer plataforma com Word - PC ou Macintosh. O Concept se
espalha facilmente, pois se replicam através do setor de boot, es-
palhando por todos os arquivos executáveis.

1998 - Back Orifice o primeiro vírus que permitiu que alguém, de

forma remota, controlasse a máquina em que estava instalado.
Uma vez instalado, involuntariamente, em um computador, permi-
te que qualquer usuário de posse do programa BO Client possa
invadir aquela máquina sem o dono saber, enquanto estiver co-
nectado à net e possa fazer qualquer coisa que o dono possa fa-
zer localmente.

1999 – O vírus Chernobyl, apaga o acesso a unidade de disco e

não deixa o usuário ter acesso ao sistema. Seu aparecimento
deu-se em abril. Sua contaminação foi bem pouco nos Estados
Unidos, mas provocou danos difundidos no exterior. A China so-
freu um prejuízo de mais de US$ 291 milhões. Turquia e Coréia
do Sul foram duramente atingidas.

2000 – O vírus LoveLetter, liberado nas Filipinas, varre a Europa

e os Estados Unidos em seis horas. Infecta cerca de 2,5 milhões
a três milhões de máquinas. Causou danos estimados em US$
8,7 bilhões.
 18

2001 – A “moda” são os códigos nocivos do tipo WORM (prolife-

ram-se por páginas da Internet e principalmente por e-mail). No-
me de um deles é o VBSWORMs Generator, que foi desenvolvido
por um programador argentino de apenas 18 anos.

2003 - Hacker Defender o objetivo era o de Defender o vírus que

já havia contaminado o computador. Ele escondia pastas de ar-
quivo e, de acordo com seu criador, quis mostrar as fragilidades
dos antivírus. Você não pode ver o Hacker Defender rodando a-
través do Gerenciador de Tarefas, tão pouco no registro do Win-
dows. Ele faz isso de tal forma que nem mesmo um firewall pode-
rá identificar a porta em que ele roda.

2005 - Aurora uma tipo de programa espião que monitorava as

propagandas nas páginas de internet vista de um determinado
computador. E ainda tentava tirar os concorrentes. Acabou viran-
do um caso de Justiça e sua criadora foi fechada.

2007 – Houve muitas ocorrências de vírus no Orkut que é capaz

de enviar scraps (recados) automaticamente para todos os conta-
tos da vítima na rede social, além de roubar senhas e contas
bancárias de um micro infectado através da captura de teclas e
cliques. Apesar de que aqueles que receberem o recado preci-
sam clicar em um link para se infectar, a relação de confiança e-
xistente entre os amigos aumenta muito a possibilidade de o usu-
ário clicar sem desconfiar de que o link leva para um WORM. Ao
clicar no link, um arquivo bem pequeno é baixado para o compu-
tador do usuário. Ele se encarrega de baixar e instalar o restante
das partes da praga, que enviará a mensagem para todos os con-
tatos do Orkut. Além de simplesmente se espalhar usando a rede
do Orkut, o vírus também rouba senhas de banco, em outras pa-
lavras, é um clássico Banker.

2008 - Conficker infectou milhões de computadores, inclusive a-

través de pen drives e obrigou a Microsoft a mudar o sistema de
inicialização do Windows. De difícil desativação. O invasor age de
 19

duas formas. Primeiro, mantém comunicação peer-to-peer (P2P)

entre as máquinas infectadas, que podem enviar e receber co-
mandos. Além disso, geram um estoque de 50 mil nomes de do-
mínio todos os dias. Desses, tenta baixar comandos de 500 des-
ses servidores, escolhidos aleatoriamente.

2009 - Psyb0t explora senhas fracas e em vulnerabilidades exis-

tentes em firmwares desatualizados para infectar modems ADSL
e roteadores. É a mais nova praga na praça.

1.2.2 Tipos de vírus

As dificuldades que quase todos os usuários têm é diferenciar um vírus de

computador por outros, que com certeza é pela falta de conhecimento de como
classificar essas variações de programas maliciosos que geram grandes confusões
que andam ocorrendo em muitos destes casos (ULBRICH; DELLA VALLE, 2005).

Como se sabe que existe uma grande variedade de pragas virtuais (pode-se
chama-lo de praga, pois depois da contaminação o computador dificilmente se tor-
nar o mesmo, devido a modificações dos ficheiros, e a dificuldade de restauração
dos ficheiros). A definição do que a praga é ou não é depende de suas ações e for-
mas de contaminação e proliferação. Mesmo havendo essa diferenciação, é comum
dar o nome dos programas maliciosos ou vírus ser generalizados todos os tipos de
pragas (ULBRICH; DELLA VALLE, 2005).

1.2.3 Estatísticas de vírus

Segundo Ulbrich e Della Valle (2005, p.19) a figura abaixo mostra o cresci-
mento dos últimos anos, devido os Hackers não buscam mais a fama e destruição,
mas sim agora eles buscam a riqueza encontrada nos bits como exemplo as senhas
de banco, email, sistemas e as informações confidenciais.
 20

Figura 1 Novas assisnaturas de códigos maliciosos

Fonte: Symantec Corporation, 2009

Segundo a F-Secure (2009), os Malwares como são chamados os vírus de

computadores, se espalham no globo conforme abaixo, as cores mais fortes são os
países que contem mais contaminações de vírus de computador.

Figura 2 Infecções no mundo

Fonte: F-Secure, 2009
 21

1.2.4 Vírus a ser estudado

No capítulo 3 do Malware (vírus de computador) mais famoso do mundo que in-

fectou mais de 15 milhões de computadores (a maior infecção de todos os tempos),
este Malware já infiltrou no governo americano, nas redes públicas, nas redes críti-
cas como os controladores de vôo da frança e em milhões de computadores pesso-
ais. Com estes efeitos desastrosos foi feito um lance pela Microsoft de 250.000 dó-
lares por informações que levem à prisão e condenação dos responsáveis por lan-
çar ilegalmente o código malicioso do vírus Conficker na Internet para quem o de-
nunciasse, sendo estimado que já realizasse um prejuízo de mais de 9,1 bilhões,
com isso pode-se apresentar seus métodos de contaminação, suas ações, como o
vírus toma o controle do computador, o que é capaz de fazer, suas variações e co-
mo se proteger. O vírus a ser estudo será o Conficker intitulado como WORM (é um
software auto-replicante, parecido a um vírus, o WORM é um software completo e
não precisa de outro software para se propagar) de computador que pode infectar
seu computador e se espalhar para outros computadores na rede automaticamente,
sem interação humana (JAHANKHANI; HESSAMI; HSU, 2009 p. 194).

Para Framingham (2009) Conficker é tão interessante que foi programado para
se ativar em um dia, para começar a se comunicar com seu criador que será no dia
1 de abril, para se ter uma noção do tanto que é difícil descobrir seu criador, o Con-
ficker gera em torno de cinqüenta mil domínios aleatórios sendo que alguns é o ver-
dadeiro domínio que ele se comunicado recebendo os comandos do seu criador e
assim fazendo seus ataques e baixando mais vírus para os computadores, sendo
assim com essa grande variedade de domínios as grandes operadoras de internet
do mundo fica quase impossível rastrearem sua comunicação e mais interessante é
que muitos continuaram sendo infectados se não fizerem suas atualizações do Win-
dows Update, para muitos fazerem estas atualizações necessita de ter o software
original, que no caso do Brasil a uma grande escala de software pirata e não são
originais.
 22

2 O CONFICKER

O Conficker tem Implacavelmente infectado quase todos os Windows XP e Win-

dows 2000 devido à maioria dos Windows não atualizarem devido ao alto grau de
pirataria. A praga já se disseminou para mais de 15 milhões de máquinas pelo mun-
do, já que este número avassalador é bem convervador sendo estes espalhados por
206 países. O Conficker variante A infectou 4.7 milhões de endereços de IP, e o va-
riante B afetou 6.7 milhões de endereço de IP. Veja no apêndice o nível de contami-
nação de cada País e a contaminação em cada browser (PORRAS, et. al. 2009).

Na análise feita pela SRI Internacional (2008) encontrou-se que os dois WORMs
são comparáveis no tamanho e o tamanho do Conficker A e B são de 1M e 3M
hosts, respectivamente. O número que a mídia anda retratando é bem provável que
esteja certíssima. Meados de 2008 têm se visto Hacker se aproveitarem destas bre-
chas e oferecerem ferramentas que apresentavam a remoção do vírus Conficker
que na verdade era ferramenta para abrirem o computador para ser mais hospedei-
ros de vírus (PORRAS, et. al. 2009).

Os clientes mais adiantados da exploração feita pelo Conficker surgiram em se-

tembro de 2008. Os Hackers chineses foram os primeiros a produzirem um pacote
comercial destas falhas para serem exploradas por apenas $37.80. A façanha em-
pregada é chamada de Remote Procedure Call 2 (RPC) uma técnica que os clientes
têm acesso a máquina infectada, o RPC usa a porta 445/TCP, que pode fazer com
que o Windows 200, XP, 2003 e Vista sejam os hospedeiros ou servidores gerando
um código arbitrário segmentado e sem nenhuma autenticação. A exploração da fa-

2
RPC é uma tecnologia popular para programar-la do modelo cliente-servidor de computação distribuída. Uma chamada
de procedimento remoto é iniciada pelo cliente enviando uma mensagem para um servidor remoto para executar um pro-
cedimento específico. Uma resposta é retornada ao cliente.
 23

lha pode afetar sistemas como firewalls ativados, que operam com impressões e
compartilhamento de arquivo na rede. O patch, foi liberado pela Microsoft em 23 de
outubro. Não obstante, quase um mês mais tarde, no meado de Novembro, o Con-
ficker utiliza esta mesma falha corrigida pela Microsoft para fazer uma varredura no
mundo inteiro e contaminar milhões de computadores (PORRAS, et. al. 2009).

Ao perguntar-se se o Conficker tem sido capaz de se proliferar de forma tão ex-

tensa? É interessante observar que é por falta dos utilizadores do Windows para a-
tualizar o patch (MS08-067) disponíveis pela Microsoft no Windows Upadate e ter as
melhores seguranças, e mesmo sim o usuário o deixa . A maioria dos usuários igno-
ram as atualizações de segurança disponibilizado pela Microsoft, alguns alegam que
o sistema se torna mais lerdo após a atualização. Porém a grande contaminação
nos computadores é devido a países de baixa renda e grande quantidade de pirata-
ria, a maioria dos sistemas operacionais no caso Windows é pirateado, conseqüen-
temente não oferecem a opção de atualização (PORRAS, et. al. 2009).

2.1 Caracteristicas

Até o momento, pesquisadores de segurança descobriram as seguintes varian-

tes do WORM em estado original. (PORRAS, et. al. 2009).

a) Win32/Conficker.Win32/Conficker.A foi relatado à Microsoft em

21 de novembro de 2008.

b) Win32/Conficker.B Win32/Conficker.B foi relatado à Microsoft em

29 de dezembro de 2008.

c) Win32/Conficker.C Win32/Conficker.C foi relatado à Microsoft em

20 de fevereiro de 2009.

d) Win32/Conficker.D Win32/Conficker.D foi relatado à Microsoft em

4 de março de 2009.

e) Win32/Conficker.E Win32/Conficker.E foi relatado à Microsoft em

8 de abril de 2009.

As suas principais propagações são através da Internet, da rede interna e tam-

bém dos USB. Hoje atualmente sua maior propagação está sendo pelos USB, devi-
 24

do a grandes operadoras terem bloqueados seus domínios de propagação e pela

facilidade da mobilidade que o USB traz no seu manuseio de computador para
computador. Já se sabe que o Conficker pode gerá até 50.000 domínios aleatórios e
um deste poderá ser o hospederos de suas ações (PORRAS, et. al. 2009).

Primeiramente a sua cotaminação se da por pen-driver. Quando colocado o pen

driver que tem seu autorun contaminado pelo Conficker como a imagem abaixo, os
usuários estão sujeitos a sua contaminação se os usuários não estão com as atuali-
zações em dia com o Windows Update ou também se o seu antivírus não estiver
com as atualizações em dia (CAIS, 2009).

Figura 3 Abrindo arquivos no USB

Fonte: arquivo/Marcos Vinicius/2009

Como pode-se ver na figura acima esta tela sempre aparece quando colocamos
o nosso pen driver no computador ou notebook, caso o autorun esteja infectado.
 25

Atuação do vírus Conficker.

Figura 4 Generalização do Conficker

Fonte: http://www.microsoft.com/library/media/1046/brasil/protect/images/viruses/diagram.jpg

Observando que o computador com o Win32/Conficker acima, na figura 4 está

contaminado com o vírus, ele manda para a rede e os computadores que estão com
pontos de interrogações e os X mostram que estão desprotegidos, estes emblemas
significam que estão com Windows Update, Antivírus e Firewall desabilitados. Mas
já o computador com o V a chave e a bandeira bloqueia os ataques vindos através
dos computadores infectados. E como pode-se ver para finalizar o pen-driver não
tem nenhuma forma de proteção contra os vírus, então é facilmente infectado e por
assim em diante, poderá dependendo da proteção da máquina infectar e passar a-
diante o código malicioso (MICROSOFT, 2009)3.

3
MICROSOFT. Proteja-se contra o worm de computador Conficker. Disponível em:
<http://www.microsoft.com/brasil/protect/computer/viruses/worms/conficker.mspx>. Acesso em 2 dez. 2009.
 26

2.1.1 Diretórios

Conforme os dados do Cais (2009), o Conficker tem a capaticadade de se mo-

ver para os seguintes diretórios do sistema operacional:

%Sysdir%\[Random].dll

%Program Files%\Internet Explorer\[Random].dll

%Program Files%\Movie Maker\[Random].dll

%Program Files%\Windows Media Player\[Random].dll

%Program Files%\Windows NT\[Random].dll

%System%\<random filename>.dll

%Documents and Settings%\<username>\Application Data\<random filename>.dll

%Temp%\<random filename>.dll

Exemplo de uma DLL no sistema operacional Windows XP:

Figura 5 Procura DLL

Fonte: arquivo/Marcos Vinicius/2009
 27

Segundo Gudgion (2009, p.10) em todos os sistemas operacionas Windows à

pasta %System%, %Program Files%, %Documents and Settings% e %Temp%. As
diferenças que o Conficker faz estão abaixo:

Windows 2000 e NT is C:\Winnt\System32

Windows 95, 98 e ME is C:\Windows\System

Windows XP e Vista is C:\Windows\System32.

2.1.2 Contaminação do registro

Logo após salvar seu arquivo aleatório o Conficker executa o arquivo que está
localizado na pasta do sistema. Exemplo: % System% \ svchost.exe-k netsvcs
(GUDGION, 2009).

O Malware adiciona a seguinte entrada Registro:

HKLM \ SYSTEM \ CurrentControlSet \ Services \ filename <aleatórios> \ Parameters \

ServiceDll = "% System% \ filename <aleatórios>"
 28

Como na figura abaixo, consta-se como é sua atuação de forma suscinta.

Figura 6 Contaminação de registro

Fonte: http://www.ca.com/us/securityadvisor/virusinfo/showimage.aspx?caid=77976&name=confickerc
_newservice.gif
 29

Na figura 7, o Conficker criou um nome de DLL aleatório, para usá-lo como

bibliotecas do Windows para sua atuação (CAIS, 2009).

Figura 7 svchost.exe

Fonte: www.raymond.cc/images/what-is-svchost.png

O serviço svchost.exe (Generic Host Process for Win32 Services) que aparece
acima, foi criado junto com o Windows 2000, é um serviço do sistema operacional
que prove para o computador acesso a internet, nele estão às configurações do
 30

DNS. Por isso o Conficker o usa para poder se espalhar através das redes (MI-
4
CROSOFT, 2009) .

O ochabwkj.dll é um nome aleatório como disse acima que o Conficker o usa

para a contaminação das bibliotecas do Windows.

2.1.3 Infecção USB

Segundo Gudgion (2009, p.21) nas mídias removíveis o Malware salva uma có-
pia sua de forma oculta dentro da unidade, aonde se encontra a pasta RECYLER.
Um exemplo: “G:\RECYCLER\S-5-3-42-2819952290-82S7834874384383488-
898342759328749437992375\JWGKVSQ.VMX”.

Um exemplo de uma imagem de um pen-driver infectado:

Figura 8 Autorun.inf infectado

Fonte: arquivo/Autor/2009

4
MICROSOFT. Uma descrição do Svchost.exe no Windows XP Professional Edition. Disponível em:
<http://support.microsoft.com/kb/314056/pt-br>. Acesso em 2 dez. 2009.
 31

Como pode-se analisar na figura acima, o autorun tem um tamanho de 58kb

muito desproporcional ao tamanho real dos autoruns que não estão infectados que
geralmente são normalmente do tamanho de 10kb (GUDGION, 2009).

Figura 9 Arquivo jwgkvsq.vmx

Fonte: http://www.kill.com.cn/vir/ruchong/middle/images/pic00qt26g4.gif

Para visualizar o arquivo oculto vá em Tools>Folder Options>View>Show hid-

den, folders, and drivers. Caso queira apagar o virus apenas clique sobre o virus e
aperte Shift + Del.

2.1.4 Infecção via internet

Após o computador ter o WORM na máquina, o Malware usa as seguintes vari-

áveis para se propagar (GUDGION, 2009).

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ (random) \ Para-

meters \ "ServiceDll" = "Caminho para WORM"

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ (random) \ "Im-

agePath" =% SystemRoot% \ system32 \ svchost.exe-k netsvcs
 32

Após a alteração no registro, o vírus altera as permissões da chave de registro,

tirando a permissão do Administrador e deixando apenas as permissões especiais
para o SYSTEM, como na imagem abaixo (GUDGION, 2009).

Figura 10 Permissão da chave de registro

Fonte: arquivo/Autor/2009

As últimas variantes do Conficker são conhecidas por gerar cinqüenta mil nomes
de domínios, usando seu próprio algoritmo. Abaixo você poderá ver a imagem do
seu código fonte (PORRAS, et. al. 2009).
 33

Figura 11 Código de geração de domínio

Fonte: SRI INTERNACIONAL

Este código tem a possibilidade de gerar 116 domínios diferentes, como exem-
plo de: com.uy, com.ua, com.tw, com.tt, com.tr, com.sv, com.py, com.pt, com.pr,
com.pe, com.br entre outros (PORRAS, et. al. 2009).

Tentativas de conexões para os seguintes sites para obter o endereço IP público

do computador afetado (PORRAS, et. al. 2009).

hxxp: / www.getmyip.org /

hxxp: / getmyip.co.uk /

hxxp: / checkip.dyndns.org /

hxxp: / whatsmyipaddress.com /

Tenta baixar um arquivo Malware a partir do site.

hxxp: / / trafficconverter.biz / [virus]. exe

Inicia um servidor HTTP em uma porta aleatória na máquina infectada para

hospedar uma cópia do WORM.

Continuamente verifica a sub-rede do hospedeiro infectado por máquinas vulne-

ráveis e executa o exploit. Se a exploração for bem sucedida, o computador remoto,
então, liga novamente para o servidor HTTP e baixar uma cópia do WORM (POR-
RAS, et. al. 2009).
 34

2.1.5 Sintomas da infecção da rede

1. Volume de tráfego de rede aumenta se houver PCs infectados na rede, por-

que ataque à rede começa a partir desses computadores infectados.
Exemplo de um aumento de tráfego na rede (CAIS, 2009).

Figura 22 Aumento de trafego

Fonte: arquivo/Autor/2009

2. É impossível acessar sites da maioria das empresas do anti-vírus, por exem-

plo, avira, avast, eSafe, DrWeb, ESET NOD32, F-Secure, Panda, Kaspersky, Micro-
soft (GUDGION, 2009).
 35

Figura 33 Acessando sites bloqueados pelo Conficker

Fonte: arquivo/Autor/2009

3. Uma tentativa de ativar os varios tipos de antivírus e depois tentar atualizá-lo,

os computador infectado com o Net-WORM.Win32.Kido WORM de rede pode resul-
tar no encerramento anormal e dar um dos seguintes erros:

Processo de Ativação concluída com erro de sistema

Nome do servidor não pode ser resolvido.

 36

Não é possível conectar ao servidor.

Segundo Gudgion (2009, p.21) exemplo de uma contaminação na máquina a-

onde o vírus bloqueia qualquer conexão vindo de programas de segurança:

Figura 44 Bloqueio da conexão do Kaspersky

Fonte: arquivo/Autor/2009

A seguir a lista de algumas palavras e websites bloqueados pelos Conficker

(PORRAS, et. al. 2009):

Windowsupdate, wilderssecurity, emsisoft, pctools, hacksoft, comodo, avira, a-

vast, esafe, drweb, grisoft, nod32, kaspersky, f'secure, panda, sophos, trendmicro,
mcafee, norton, symantec, Microsoft, Defender, rootkit, Malware, spyware e vírus.

O Conficker também desabilita vários serviços do sistema operacional Windows.

Abaixo veja os bloqueios que o Conficker faz (GUDGION, 2009).

wscsvc - Security Center

 37

wuauserv - Automatic updates

BITS - Background Intelligent Transfer Service

WinDefend - Windows Defender

ERSvc - Error Reporting Service

WerSvc - Windows Error Reporting Service

Exemplo da atuação do Conficker bloqueando os serviços:

Figura 55 Serviços desabilitados pelo Conficker

Fonte: arquivo/Autor/2009

Acima visualiza-se as Atualizações Automáticas, relatório de erros, gerenciando

de download e a central de segurança sendo desabilitados quando entra-se nessa
opção pode-se ver claramento a desabilitação (GUDGION, 2009).
 38

Figura 66 Atualização Automática

Fonte: arquivo/Autor/2009

Abrindo a opção Windows Defender ele nos motra que foi desativado também
como na imagem abaixo (GUDGION, 2009).
 39

Figura 177 Desabilitando o Windows Defender

Fonte: arquivo/Autor/2009

O WORM desabilita toda a central de segunraça do Windows. (GUDGION,

2009).

A Central de Segurança do Windows pode ajudar a aumentar a segurança

de seu computador inspecionando o status de vários componentes funda-
mentais da segurança do computador, inclusive configurações de firewall,
atualizações automáticas do Windows e configurações de software antimal-
ware, de segurança da Internet e do Controle de Conta de Usuário Se o
Windows detectar um problema em um destes componentes fundamentais
da segurança (por exemplo, se o programa antivírus estiver obsoleto), a
Central de Segurança exibe uma notificação e coloca um ícone Imagem do
escudo vermelho da Central de Segurança da Central de Segurança na área
de notificação. Clique a notificação ou clique duas vezes no ícone da Central
de Segurança para abrir a Central de Segurança e obter informações sobre
5
como reparar o problema. (MICROSOFT, 2009) .

5
MICROSOFT. Usando a Central de Segurança do Windows. Disponível em: <http://technet.microsoft.com/pt-
br/library/cc721871%28WS.10%29.aspx>. Acesso em 2 dez. 2009.
 40

Veja esta desabilitação feita pelo Conficker da central de segurança:

Figura 18 Central de segurança desabilitado pelo Conficker

Fonte: arquivo/Autor/2009

2.1.6 Ativação do agendador de tarefas

Segundo a Microsoft (2009), o agendador de tarefas tem as seguintes funciona-

lidades:

O snap-in MMC do Agendador de Tarefas permite que você agende tarefas

automatizadas que realizem ações em um horário específico ou quando um
determinado evento ocorrer. Ele mantém uma biblioteca de todas as tarefas
agendadas, fornecendo um modo de exibição organizado das tarefas e um
ponto de acesso conveniente para gerenciá-las. Da biblioteca, você pode
executar, desabilitar, modificar e excluir tarefas. A interface do usuário (IU)
do Agendador de Tarefas é um snap-in MMC que substitui a extensão do
Explorer das Tarefas Agendadas no Windows XP, Windows Server 2003 e
Windows 2000. Para obter mais informações sobre como iniciar ou acessar
6
a IU do Agendador de Tarefas. (MICROSOFT, 2009) .

Depois de comprometer uma máquina remotamente, Win32/Conficker.B cria

uma agenda de trabalho remoto com o comando "rundll32.exe <nome do arquivo

6
MICROSOFT. Visão geral sobre o Agendador de Tarefas. Disponível em:< http://windows.microsoft.com/pt-
BR/windows-vista/Using-Windows-Security-Center>. Acesso em 2 dez. 2009.
 41

Malware>. Dll, <parâmetros Malware>" para ativar a cópia, como mostrado na figura
19 (PORRAS, et. al. 2009).

Figura 19 Tarefa agendada pelo Conficker

Fonte: arquivo/Autor/2009

Abrindo uma tarefa agendada e quando observardo, o vírus usa a DLL run-
dll32.exe. O Rundll32.exe permite que DLL's sejam executados como executáveis
pelo sistema. Uma DLL é uma "Biblioteca" ou "extensão de arquivo ou arquivos",
com instruções para execução de uma determinada tarefa. Uma DLL pode ser usa-
da por um ou mais programas, pois pode conter instruções em comum para mais de
um programa ou arquivo. O Rundll32.exe geralmente vem desabilitado no sistema,
mas um aplicativo pode ativá-lo para rodar alguma DLL (próprio do programa, de
outro programa ou do sistema), como se fosse executável (PORRAS, et. al. 2009).
 42

Figura 20 Abrindo uma tarefa agendada pelo vírus

Fonte: arquivo/Autor/2009

2.1.7 Infecção via P2P

Variantes mais recentes descobertas em março de 2009 incluía uma capacidade

de P2P. Esta capacidade permite Conficker possa se comunicar com outras máqui-
nas infectadas Windows (GUDGION, 2009).

Para facilitar a capacidade de P2P, a necessidade criar vários segmentos que

entrará em contato com máquinas de pares via portas UDP e TCP. Em seguida, ele
ouve em duas portas TCP e UDP e modifica a configuração do Windows Firewall
para que conexão de entrada nessas portas TCP e UDP seja permitida. Essas por-
tas abertas receberão mensagens P2P a partir de máquinas (GUDGION, 2009).
 43

As mensagens P2P são criptografadas e contém um código de mensagem que

identifica qual é o conteúdo das mensagens P2P. Um dos tipos de cargas transpor-
tadas por estas mensagens P2P pode ser um código executável que será executado
na máquina do peer que recebeu a mensagem de P2P. (GUDGION, 2009).

O seguinte Registro entradas é criado pela rotina P2P para armazenar seu es-
tado interno (GUDGION, 2009).

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows HKEY_LOCAL_MACHINE \
SOFTWARE \ Microsoft \ Windows \CurrentVersion\Explorer\{%d-%d-%d-%d-
%d}\%string% \ CurrentVersion \ Explorer \ (% d-% d-% d-% d% d) \% texto%

HKEY_CURRENT_USER\Software\Microsoft\Windows HKEY_CURRENT_USER \
Software \ Microsoft \ Windows \CurrentVersion\Explorer\{%d-%d-%d-%d-%d}\%string%
\ CurrentVersion \ Explorer \ (% d-% d-% d-% d% d) \% texto%

Para que o Conficker possa se propagar na rede de computadores por P2P, ele
lança uma regra de exceção na configuração do Firewall do Windows para que as
portas TCP e UDP utilizadas pelo código malicioso como na imagem abaixo (GUD-
GION, 2009).

Figura 81 Infecção via rede P2P

Fonte: http://www.iss.net/Display/images/xforce/conficker.gif
 44

2.2 Remoção e prevenção

O Windows vem com a opção de todo os discos removíveis serem encontrados

e auto-executados, e é ai que se encontra a brecha. A princípio deve-se remover
todas as nossas infecções encontradas nos pen-driver e bloquear as entradas dos
discos removíeis. Quando você insere uma unidade de flash USB que está infecta-
do, abre o autorun "padrão" e uma janela aparece. Se você clicar na opção padrão
para "Abrir pasta para exibir arquivos", o sistema torna-se infectado, juntamente com
todos os outros computadores em sua rede local (CAIS, 2009).

A janela de autorun que aparece contém uma pasta "falsa Abrir para visualizar
arquivos de entrada" que executa o vírus ao invés de abrir uma pasta para exibir
seus arquivos. Se você clicar nesta opção autorun falso, o vírus é executado de
forma livre e sem restrições. Conficker então cade vez mais se transformando em
diferentes padrões para evitar a detecção de antivírus para infectar todo o seu
mquina e a rede local. Porque ele se transforma seu código de forma aleatória, tra-
dicionalmente a detecção baseada em assinaturas que atualmente utiliza software
antivírus faz a detecção quase impossível. Quando você conecta um drive USB ex-
terno, Conficker usa uma engenharia social "truque para enganá-lo em execução o
vírus e infectar o computador. Basicamente, Conficker modifica a maneira como o
Windows "autorun" funciona quando você conecta um drive USB externo. As duas
telas abaixo mostram como a janela do autorun quando você conectar um dispositi-
vo USB (GUDGION, 2009).
 45

Figura 92 Abertura de arquivo duplicado

Fonte: arquivo/Autor/2009
 46

Figura 23 Abrir pasta certa

Fonte: arquivo/Autor/2009

Nas duas figuras acima, a duas opções de abertura de arquivo, a primeiro é a

que contém vírus e a seguranda que mostra a ceta vermelha é a padrão do Win-
dows que não contém o Malware.

Então para evitar a contaminação do Conficker através da execução do USB

deve-se clicar sempre em usar o Windows Explorer, desabilitar a execução automá-
tica do USB e passar um antivírus antes de abrir um dispositivo USB (SCHMIDT,
2005).
Instrução para desabilitar execução automática do USB:

Clique em Iniciar e em Executar.

Na caixa Abrir, digite regedit e clique em OK.

Localize e clique na seguinte chave do Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

No painel à direita, clique duas vezes em Start.

 47

Na caixa Dados de valor, digite 4, clique em Hexadecimal (se não estiver sele-
cionado) e em OK.

Feche o Editor do Registro.

Exemplo visual da execução:

Figura 24 Alteração de registro de USB

Fonte: arquivo/Autor/2009

Exemplo de scan com o Antivirus McAfee no pendriver, detectando o vírus Con-

ficker:

Figura 25 Antivírus detectando Conficker

Fonte: arquivo/Autor/2009
 48

2.2.1 Atualização Crítica

Em 23 de outubro de 2008 a Microsoft publica sua falha indentificada como

MS08-067 que tem por objetivo corrigir falhar aonde vírus venham controlar os com-
putadores remotamem sem o consentimento do usuário, veja abaixo uma nota ex-
plicativa (MICROSOFT, 2009).

Esta atualização de segurança resolve uma vulnerabilidade reportada em

particular no serviço do servidor. A vulnerabilidade pode permitir execução
remota de código se um usuário receber uma solicitação de RPC especial-
mente criada em um sistema afetado. Nos sistemas Microsoft Windows
2000, Windows XP e Windows Server 2003, um invasor pode explorar esta
vulnerabilidade sem autenticação para executar código arbitrário. É possível
que esta vulnerabilidade seja usada na criação de uma exploração por
WORM. As práticas recomendadas de firewall e as configurações de firewall
padrão podem ajudar a proteger recursos de rede contra ataques com ori-
gem externa ao perímetro da empresa.Esta atualização de segurança é
classificada como Crítica para todas as edições com suporte do Microsoft
Windows 2000, Windows XP, Windows Server 2003 e como Importante para
todas as edições com suporte do Windows Vista, Windows Server 2008. Pa-
ra obter mais informação, consulte a subseção Software afetado e não afe-
tado nesta seção. A atualização de segurança elimina a vulnerabilidade, cor-
rigindo a maneira como o serviço Servidor manipula solicitações de RPC.
Para obter mais informações sobre a vulnerabilidade, consulte a subseção
Perguntas freqüentes relacionada à entrada da vulnerabilidade específica
presente na próxima seção, Informações sobre a vulnerabilidade (MICRO-
7
SOFT, 2009) .

7
MICROSOFT. Windows Update. Disponível em:
<http://www.microsoft.com/brasil/windows/products/windowsvista/features/details/windowsupdate.mspx>. Acesso em 9
ago. 2009.
 49

Atualização do Windows conforme as imagens abaixo:

Figura 26 Windows Update

Fonte: arquivo/Autor/2009
 50

Outra opção é acessar o Windows Update no Windows XP, utilizando o menu i-

niciar clássico.

Figura 27 Windows Update diferente

Fonte: arquivo/Autor/2009

3.3.2 Atualizando o Antivírus

A primeira coisa que se deve esclarecer é a importância de sempre estar o anti-

vírus atualizado em seu computador. Todos os dias aparecem vários vírus novos e
todos os dias são desenvolvidos as curas para esses vírus. Muitos programas fazem
isso automaticamente, o que é bom para a segurança, mas podem deixar seu com-
putador ou a conexão com a internet mais lenta. Quando você deixa de atualizar seu
antivírus, você pode correr vários perigos de infecção no seu computador. Os me-
lhores antivírus atualizam seu banco de dados de Malware de 6hrs em 6hrs, fazen-
do com que você esteja menos sujeitos as pragas encontradas no mundo virtual
(MÁRLEO, 2009).
Um exemplo abaixo das atualizações dos principais antivírus.
 51

Abrindo o Avast, clique em Ferramentas>atualização>Atualização do Banco de

dados de vírus:

Figura 28 Avast
Fonte: arquivo/Autor/2009

No AVG, para atualizar, clique com o botão direito sobre o ícone da área de noti-
ficação perto do relógio do Windows.

Figura 29 AVG
Fonte: arquivo/Autor/2009

Para fazer a atualização do Avira pode ser feita na própria tela do programa, se-
lecionado a opção "Start update".
 52

Figura 30 AVIRA
Fonte: arquivo/Autor/2009

Para Atualizar o Kaspersky clique diretamente sobre o ícone do programa na á-

rea de notificação perto do relógio do Windows:
 53

Figura 101 Kasperky

Fonte: arquivo/Autor/2009
 54

Para atualizar o NOD32, clique em Update e logo após clique em Update vírus
signature database:

Figura 32 NOD32
Fonte: arquivo/Autor/2009

2.2.2 Firewall

Agora pode-se entender porque deve-se ter na nossa rede um firewall ou na

nossa máquina instalada:

Firewall é um quesito de segurança com cada vez mais importância no

mundo da computação. À medida que o uso de informações e sistemas é
cada vez maior, a proteção destes requer a aplicação de ferramentas e con-
ceitos de segurança eficientes. O firewall é uma opção praticamente impres-
cindível. Firewall pode ser definido como uma barreira de proteção, que con-
trola o tráfego de dados entre seu computador e a Internet (ou entre a rede
onde seu computador está instalado e a Internet). Seu objetivo é permitir
somente a transmissão e a recepção de dados autorizados. Existem firewal-
ls baseados na combinação de hardware e software e firewalls baseados
somente em software. Este último é o tipo recomendado ao uso doméstico e
também é o mais comum. Explicando de maneira mais precisa, o firewall é
um mecanismo que atua como "defesa" de um computador ou de uma rede,
controlando o acesso ao sistema por meio de regras e a filtragem de dados.
A vantagem do uso de firewalls em redes, é que somente um computador
pode atuar como firewall, não sendo necessário instalá-lo em cada máquina
conectada (INFORWESTER, 2009).

De acordo com Cais (2009), os especialistas de segurança descobriram como

detectar o Conficker na rede, e abaixo está como deve-se agir:
 55

Caso você seja administrador de rede, é possível identificar máquinas infec-

tadas pelo Conficker através dos seguintes procedimentos:

Atente para o aumento anormal do tráfego de rede em conexões HTTP

(80/TCP), pois o Conficker utiliza este tipo de conexão para receber instruções;

Redes locais com compartilhamento de diretórios provavelmente estarão

mais lentas, dada a ação do Conficker na rede local;

Configure em seu firewall ou Proxy regras que registrem o acesso a URLs

acessadas pelo Conficker. Listas atualizadas constantemente com as URLs que
o Malware tem acessado estão disponíveis em:
http://cert.lexsi.com/weblog/index.php/2009/02/06/276-noms-de-domaine-de-
Conficker-downadup-a-et-b

Configure em seu firewall ou Proxy regras que registrem as seguintes requisi-

ções HTTP, muito provavelmente realizadas pelo Conficker CAIS (2009).

GET http://[IP]/search?q=0 HTTP/1.0"

GET http://[IP]/search?q=1 HTTP/1.0"

GET http://[IP]/search?q=n+1 HTTP/1.0"

Agora pode se ver de forma visual como analisar e bloquear o Conficker.

Neste processo utilizo o NOD32. CAIS (2009).
 56

Aumento do trafego na rede:

Figura 33 Aumento de trafego na rede

Fonte: arquivo/Autor/2009

Observa-se que de forma desproporcional o aumento do trafego na figura 33,

tem a possibilidade de infecção.
 57

Bloqueando os sites que o Conficker se conecta:

Figura 114 Inserir sites bloqueados

Fonte: arquivo/Autor/2009

Devemos também colocar regras no firewall para bloquear o Conficker veja

CAIS (2009).
 58

Figura 125 Regras para bloquear o Conficker

Fonte: arquivo/Autor/2009

2.2.3 Administradores de rede

Conforme a InfoHelp (2009), a melhor ferramenta open source de scanea-

mento de porta é o Nmap, veja sua definição e uso:

O Nmap é um portscan de uso geral, que pode ser usado, sempre que você
precisar verificar rapidamente as portas abertas em determinado host, seja na
sua rede local, seja na Internet (INFOHELP, 2009).

O Nmap é um pacote muito utilizado e por isso está disponível em todas as

principais distribuições. Você pode instalá-lo usando o yast (SuSE), yum (Fedo-
ra), urpmi (Mandriva), ou outro gerenciador de pacotes disponível (INFOHELP,
2009).

Para o usuário comum é difícil usar esta ferramenta na rede, pois necessita
da instalação de um sistema livre na máquina e a instalar do software via apt get
no terminal (INFOHELP, 2009).
 59

Após instalar o Nmap utilize esta linha de comando (INFOHELP, 2009).

nmap -PN -T4 -p139,445 -n -v –“script” smb-check-vulns,smb-os-discovery –

“script”-args unsafe=1 ip_do_pc

Se o computador estiver infectado, ele mostrará a seguinte mensagem:

Conficker: Likely INFECTED

Se não estiver infectado, mostrará a seguinte mensagem:

Conficker: Likely CLEAN

Veja a imagem abaixo, mostra que o vírus aplicou o seu próprio patch ->
MS08-067: PATCHED ( possibly by Conficker) (INFOHELP, 2009).

Figura 136 Infected

Fonte: http://www.infohelp.org/wp-content/uploads/2009/04/nmapinfected.gif
 60

Conforme a InfoHelp (2009) a imagem abaixo mostra que o Sistema Operacio-

nal não tem a infecção do vírus conficker, mas continua vulnerável devido o patch
da Microsoft MS08-067, não se apresentar instalado.

Figura 37 Vulnerable
Fonte: http://www.infohelp.org/wp-content/uploads/2009/04/nmapvulnerable.gif
 61

Quando se faz a atualização do Windows Update é mostrado à imagem seguin-

te -> MS08-067: FIXED e consequentemente é mostrado que o computador está
com o Sistema Operacional limpo do vírus Conficker.

Figura 38 Fixed
Fonte: http://www.infohelp.org/wp-content/uploads/2009/04/nmappatched.gif

Esta maneira é a melhor para os Administradores de rede saberem qual Win-

dows está sem as atualizações críticas que comprometam a segurança do compu-
tador (CAIS, 2009).

2.2.4 Prevenções gerais

Pode-se prevenir das seguintes maneiras, sempre atualizando o sistema ope-

racional, instalando um bom antivírus, anti-Malware, anti-spam, anti-kelogeer, anti-
spyware e colocando um bom firewall. Cuidado antes de iniciar um pendriver, dis-
 62

quete, memória flash, câmera digital. A princípio não se precisa clicar em nada, o
fato de o computador tentar abri-lo já é possível de contaminação (CERT.BR, 2009).

É recomendado executar o antivírus em todos os discos rígidos, nos pendri-

vers e nos desquites, configurando-o para verificar o Registro Mestre de Boot, que
são os setores dos discos rígidos e também verificando as memórias do computa-
dor. Normalmente o padrão dos antivírus é checar os arquivos com extensões: com,
exe, sys, dll, inf, conf e dentro outros. O antivírus deverá ser utilizado todas as vezes
que um disquete, pendriver ou câmera digital for inserida no computador, eliminado
assim todas as possíveis infecções. Downloads é outra forma de infecção, então os
antivírus atuais têm a checagem de download instantâneo, para que ele seja aberto
no computador, o antivírus vasculhará as possíveis infecções ou códigos maliciosos.
O usuário pode abrir quaisquer e-mails, mais o grande diferencial é que não deve
abrir qualquer arquivo que esteja anexo no e-mail, pois muitos destes e-mails são
phisinng (disfarçado ou também links), que poderão enganar os usuários, muitos
destes e-mails parecem amigáveis, mas se não for de uma pessoa conhecida, ja-
mais abra algo anexado (CERT.BR, 2009).
 63

CONSIDERAÇÕES FINAIS

Segurança é um assunto vasto, onde não existem soluções universais, mas

sim soluções relativas a um determinado contexto. Ainda estamos longe de termos
uma rede de comunicações absolutamente segura, talvez até nunca venhamos ter,
porque sempre existirão certas vulnerabilidades e pessoas interessadas em criar
novos métodos de ataque.

No entanto podemos através do estudo apresentado finalizar, que a situação

do Conficker em um Sistema Operacional age para desabilitar a central de seguran-
ça, impedindo a atualização de segurança, para a sua propagação nos computado-
res e a internet e por fim comunicar-se com seu criador. É imprescindível que os an-
tivírus estejam com suas atualizações, pois a cada dia mais os vírus estão surgindo
de forma crescente.

É importante também que os usuários de micro computadores usem software

original para atualizações ou uma solução mais avançada usar software livres. Op-
tando por um software livre que no caso Linux ou outros, o Conficker não poderá
atuar de forma eficaz, tirando assim seu objetivo de propagar-se e comunicar-se
com seu criador.

Durante a pesquisa realizada para o desenvolvimento deste trabalho pude

observar a importância sobre a evolução do Vírus Conficker. O profissional de in-
formática precisa conhecer o histórico ou a sua evolução, isto pode ajudá-lo a detec-
tar possíveis infecções nos sistemas, descobrir as diversas maneiras de proliferação
do Conficker e os seus métodos de infecção, assim sendo desenvolverem sistemas
mais eficientes de proteção, sendo nos dias de hoje essencial para usuários domés-
ticos e empresas.

A complexidade do tema acredito ter sido a principal desvantagem encontra-

da durante a realização desta pesquisa. Explicar minuciosamente a propagação e a
atuação do Conficker e a sua forma de remoção e proteção torna-se este trabalho
 64

marcante, o principal objetivo é mostrar e alertar os profissionais como se procede a

contaminação do vírus Conficker no sistema operacional Windows XP.

Com este presente estudo viso contribuir com novas pesquisas relacionada
na promoção e prevenção de segurança dos Sistemas Operacionais e o bom fun-
cionamento da rede, a partir de informações extraídas desta pesquisa onde descre-
ve a forma de contaminação e remoção do vírus, acredito que ele seja essencial na
produção de um software ou script para detectar e remover o vírus Conficker e até
mesmo a produção de um artefato para analisar o trafego da rede com objetivo de
detectar e bloquear de forma automática a ação do Conficker.
 65

REFERÊNCIAS BIBLIOGRÁFICAS

BRAIN, Marshall. Como funciona o Vírus de Computador. Disponível em:

<http://informatica.hsw.uol.com.br/virus1.htm>. Acesso em 19 ago. 2009.

CAIS. Como identificar e remover o malware Conficker (Downadup ou Kido).

Rio de Janeiro, feb. 2009. Rede Nacional de Ensino e Pesquisa. Disponível em:
<http://www.rnp.br/cais/alertas/2009/cais-alr-2009-2a.html>. Acesso em 8 ago. 2009.

CERT.BR. Cartilha de segurança para a internet. Disponível em:

<http://cartilha.cert.br/>. Acesso em 1 dez 2009

COHEN, Fred. Histórico: a evolução do vírus de computador. Disponível em:

<http://www.fisicastronomorais.com/pdf/virusinfor.pdf>. Acesso em 09 ago. 2009.

FRAMINGHAM. Conficker falhou, defendem especialistas. Disponível em:

<http://idgnow.uol.com.br/seguranca/2009/04/01/para-especialistas-conficker-
falhou/>. Acesso em 8 ago. 2009.

F-SECURE. Mapa mundial da F-Secure. Disponível em: <http://www.f-

secure.com.br/security_center/virus_world_map.html>. Acesso em 8 ago. 2009.

GOODMAN. Paul Etal. Techmalogy and organization. 1. ed. Jossy-Bass Publish-

ers: San Francisco, 1990. 21 p.

GUDGION, Kevin. Finding W32/Conficker.worm. McAfee Avert Labs. Canada, ago.

2009. Disponível em: <http://download.nai.com/products/mcafee-
avert/documents/combating_w32_conficker_worm.pdf>. Acesso em 19 ago. 2009.

INFOHELP. Conficker – Guia definitivo de remoção. Disponível em:

<http://www.infohelp.org/thales-laray/conficker-guia-definitivo-de-remocao/>. Acesso
em 1 dez 2009.

INFOWESTER. Firewall: conceitos e tipos. Disponível em:

<http://www.infowester.com/firewall.php>. Acesso em 8 ago. 2009.

JAHANKHANI, Hamid; HESSAMI, Ali G; HSU, Feng. Global Security, Safety, and
Sustainability. Communications in Computer and Information Science. 5. ed.
Chennai: Springer, 2009. 194 p. ISSN 1865-0929.

MARCELO, Vicente. Segurança de sistemas, Ênfase em rede de computadores,

2002. Anais. Belo Horizonte: UFMG, 1995. 655 p.

MÁRLEO. As pessoas tem várias dúvidas sobre atualização de antivírus. Neste

artigo, várias dessas dúvidas serão sanadas. Disponível em:
<http://www.plusgsm.com.br/forums/showthread.php?t=111065>. Acesso em 1 dez
2009.
 66

MICROSOFT. Boletim de Segurança da Microsoft MS08-067 – Crítica. Disponível

em: <http://www.microsoft.com/brasil/technet/security/bulletin/MS08-067.mspx>. A-
cesso em 2 dez. 2009.

MICROSOFT. O que são vírus, worms e cavalos de Tróia? Disponível em:

<http://www.microsoft.com/brasil/athome/security/viruses/virus101.mspx>. Acesso
em 2 dez. 2009.

MICROSOFT. Proteja-se contra o worm de computador Conficker. Disponível

em:
<http://www.microsoft.com/brasil/protect/computer/viruses/worms/conficker.mspx>.
Acesso em 2 dez. 2009.

MICROSOFT. Uma descrição do Svchost.exe no Windows XP Professional Edi-

tion. Disponível em: <http://support.microsoft.com/kb/314056/pt-br>. Acesso em 2
dez. 2009.

MICROSOFT. Usando a Central de Segurança do Windows. Disponível em:

<http://technet.microsoft.com/pt-br/library/cc721871%28WS.10%29.aspx>. Acesso
em 2 dez. 2009.

MICROSOFT. Visão geral sobre o Agendador de Tarefas. Disponível em:<

http://windows.microsoft.com/pt-BR/windows-vista/Using-Windows-Security-Center>.
Acesso em 2 dez. 2009.

MICROSOFT. Windows Update. Disponível em:

<http://www.microsoft.com/brasil/windows/products/windowsvista/features/details/win
dowsupdate.mspx>. Acesso em 9 ago. 2009.

ORRICO, J. H. Pirataria de Software. 1. ed. São Paulo: MM Livros, 2004. (Informá-

tica). ISBN 89788590424222.

PORRAS, Phillip; SAIDI, Hassen; YEGNESWARAN, Vinod. SRI International. USA,

feb. 2009. Seção An Analysis of Conficker's Logic and Rendezvous Points. Dis-
ponível em: <http://mtc.sri.com/Conficker/>. Acesso em 11 ago. 2009.

ROHR, Altieres. Perigos virtuais de todo dia. Disponível em:

<http://linoresende.jor.br/perigos-virtuais-de-todo-dia/>. Acesso em 06 ago. 2009.

SCHMIDT, Hannes. How to disable USB sticks and limit access to USB storage
devices on Windows systems. Disponível em:
<http://diaryproducts.net/about/operating_systems/windows/disable_usb_sticks>.
Acesso em 2 dez. 2009.

ULBRICH, Henrique Cesar; DELLA VALLE, James. Universidade H4CK3R, des-

vende todos os segredos do submundo dos hackers. 5. ed. São Paulo: Digerati Bo-
oks, 2005. 319 p. ISBN 8589535-01-0.