Home > Notícias

Ferramenta pode ajudar na detecção de PCs infectados pelo Conficker

Software criado por pesquisadores indica se falha no Windows foi “corrigida” pelo Conficker dias antes do seu ataque.

Redação do Computerworld / EUA

30/03/2009 às 16h18

Foto:

Programado para atacar no próximo dia 1o de abril, pesquisadores descobriram que o Conficker tem uma falha que pode ajudar na detecção do worm por parte das vítimas.

Os membros do Honeynet Project, Tillmann Werner e Felix Leder, descobriram que PCs infectados retornam mensagens de erro quando recebem mensagens Remote Procedure Call (RPC).

PCs infectados com o Conficker.c, terceira versão do worm, estabelecerão um link com servidores para que os crackers responsáveis pelo malware mandem mais códigos maliciosos.

"Você pode perguntar a um serviço se está infectado com Conficker, e ele lhe dirá", afirmou Dan Kaminsky, pesquisador de segurança responsável pela falha no Domain Name System, em seu blog.

Após publicada, a tecnologia foi modificada e adicionada a sistemas de detecção corporativos de empresas como McAfee, nCircle e Qualys, que serão atualizados.

O software de código aberto Nmap também deverá incluir a atualização para apontar uma suposta infecção.

Máquinas infectadas respondem a mensagens RPC de maneira diferente já que o worm, que explora uma falha no Windoww corrigida em outubro pela Microsoft, usa um patch próprio para "fechar a porta" após a infecção.

Resolver uma falha de segurança após explorá-la é uma tática comum entre criminosos para prevenir que outros crackers usem o mesmo caminho para roubar informações.

Por corrigir a falha que explora, o Conficker dificulta a detecção de máquinas infectadas por softwares de segurança. A descoberta de Werner e Leder é uma maneira de indicar se a correção no PC é legítima ou não.

O patch aplicado pelo worm, porém, não fecha totalmente a brecha de segurança no Windows, o que faz com que muitos se preocupem que a ferramenta divulgada pelos pesquisadores possa ser usada por criminosos que queiram sequestrar as cerca de 12 milhões de máquinas infectadas com Conficker.

"Não acho que a falha será explorada por qualquer um além dos autores do Conficker", disse ele. "Este é um time esperto, determinado e atualizado".

Werner e Leder publicarão mais informações sobre suas descobertas em um estudo chamado "Know Your Enemy: Containing Conficker -- To Tame a Malware", que será publicado no site da Honeynet Project quando estiver pronto.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail