Alerta de vírus sobre o worm Win32/Conficker

Traduções de Artigos Traduções de Artigos
Artigo: 962007 - Ver produtos para os quais este artigo se aplica.
O Windows Vista Service Pack 1 (SP1) deixa de ter suporte a 12 de Julho de 2011. Para continuar a receber actualizações de segurança para o Windows, certifique-se de que tem instalado o Windows Vista com Service Pack 2 (SP2). Para mais informações, consulte esta página Web da Microsoft: Algumas versões do Windows vão deixar de ter suporte.
Expandir tudo | Reduzir tudo

Nesta página

Resumo

As informações constantes neste artigo da Base de Dados de Conhecimento aplicam-se em ambientes empresariais com administradores de sistema que tenham capacidade para implementar os detalhes descritos neste artigo. Não se justifica a utilização deste artigo, caso o seu programa antivírus esteja a limpar o vírus correctamente e os sistemas estejam completamente actualizados. Para confirmar a inexistência do vírus Conficker no sistema, efectue uma análise rápida a partir da seguinte página Web: http://www.microsoft.com/security/scanner/pt-pt/default.aspx Para obter informações detalhadas sobre o vírus Conficker, visite a seguinte página Web da Microsoft:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Sintomas de infecção

Se o computador estiver infectado com este worm, poderá não detectar qualquer sintoma ou poderá detectar os seguintes:
  • As políticas de bloqueio de contas estão a ser convertidas.
  • As Actualizações Automáticas, o Serviço de Transferência Inteligente em Segundo Plano (BITS), o Windows Defender e os Serviços de Relatório de Erros encontram-se desactivados.
  • A resposta dos controladores de domínio aos pedidos dos clientes é lenta.
  • A rede encontra-se com muito tráfego.
  • Não é possível aceder a vários Web sites relacionados com a segurança.
  • Não serão executadas várias ferramentas relacionadas com segurança. Para obter uma lista de ferramentas conhecidas, visite a seguinte página Web da Microsoft e, em seguida, clique no separador Análise para obter informações sobre o Win32/Conficker.D. Para mais informações, visite a seguinte página Web da Microsoft:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Para obter mais informações sobre o Win32/Conficker, visite a seguinte página Web do Centro Microsoft de Protecção Contra Software Maligno:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Métodos de propagação

O Win32/Conficker propaga-se mediante múltiplos métodos. Estes incluem os seguintes:
  • Exploração da vulnerabilidade corrigida pela actualização de segurança 958644 (MS08-067)
  • A utilização de partilhas de rede
  • A utilização da funcionalidade de Reprodução Automática
Por conseguinte, deve ter cuidado ao limpar uma rede para que a ameaça não seja reintroduzida em sistemas que tenham sido previamente limpos.

Nota: a variante Win32/Conficker.D não se propaga a unidades amovíveis nem a pastas partilhadas numa rede. O Win32/Conficker.D é instalado através de variantes anteriores do Win32/Conficker.

Prevenção

  • Utilize palavras-passe de administrador seguras que sejam exclusivas para todos os computadores.
  • Não inicie sessão em computadores utilizando credenciais de administrador de domínio nem credenciais que permitam aceder a todos os computadores.
  • Certifique-se de que foram aplicadas a todos os sistemas as actualizações de segurança mais recentes.
  • Desactive as funcionalidades de Reprodução Automática. Para mais informações, consulte o passo 3 da secção "Criar um objecto de Política de Grupo".
  • Remova direitos excessivos para partilhas. Neste âmbito, inclui-se a remoção de permissões de escrita para a raiz de qualquer partilha.

Passos de mitigação

Pare a propagação do Win32/Conficker utilizando as definições de Política de Grupo

Notas
  • Importante: certifique-se de que documenta as definições actuais antes de efectuar quaisquer das alterações sugeridas neste artigo.
  • Este procedimento não remove o software maligno Conficker do sistema. Este procedimento acaba apenas com a propagação do software maligno. Deverá utilizar um produto antivírus para remover o software maligno Conficker do sistema. Em alternativa, execute os passos descritos na secção "Passos manuais para remover o vírus Win32/Conficker" deste artigo da Base de Dados de Conhecimento para remover manualmente o software maligno do sistema.
  • Poderá não conseguir instalar correctamente as aplicações, service packs ou outras actualizações enquanto as alterações de permissões recomendadas nos passos que se seguem não forem aplicadas. Neste âmbito, inclui-se, entre outros, a aplicação de actualizações utilizando o Windows Update, o servidor de Microsoft Windows Server Update Services (WSUS) e o System Center Configuration Manager (Configuration Manager 2007), uma vez que estes produtos dependem de componentes das Actualizações Automáticas. Certifique-se de que repõe as predefinições das permissões após limpar o sistema.
  • Para obter informações sobre as permissões predefinidas da chave de registo SVCHOST e da Pasta Tarefas mencionadas na secção "Criar um objecto de Política de Grupo", consulte a Tabela de permissões predefinidas no final deste artigo.

Criar um objecto de Política de Grupo

Crie um novo objecto de Política de Grupo (GPO) que seja aplicável a todos os computadores numa unidade organizacional (OU), site ou domínio específico, conforme necessário no seu ambiente.

Para o fazer, siga estes passos:
  1. Defina a política para remover as permissões de escrita da seguinte subchave de registo:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Este procedimento evita que o serviço de software maligno, de nome aleatório, seja criado no valor de registo netsvcs.

    Para o fazer, siga estes passos:
    1. Abra a Consola de Gestão de Políticas de Grupo (GPMC).
    2. Crie um novo GPO. Atribua-lhe o nome pretendido.
    3. Abra o novo GPO e, em seguida, desloque-se para a pasta seguinte:
      Computer Configuration\Windows Settings\Security Settings\Registry
    4. Clique com o botão direito do rato em Registo e, em seguida, clique em Adicionar Chave.
    5. Na caixa de diálogo Seleccionar Chave para o Registo, expanda Máquina e, em seguida, desloque-se para a pasta seguinte:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Clique em OK.
    7. Na caixa de diálogo que é apresentada, clique para desmarcar a caixa de verificação Controlo Total para Administradores e Sistema.
    8. Clique em OK.
    9. Na caixa de diálogo Adicionar Objecto, clique em Substituir permissões existentes em todas as subchaves com permissões herdáveis.
    10. Clique em OK.
  2. Defina a política para remover as permissões de escrita para a pasta %windir%\Tarefas. Este procedimento evita que o software maligno Conficker crie Tarefas Agendadas que podem voltar a infectar o sistema.

    Para o fazer, siga estes passos:
    1. No mesmo GPO criado anteriormente, desloque-se para a pasta seguinte:
      Computer Configuration\Windows Settings\Security Settings\File System
    2. Clique com o botão direito do rato em Sistema de Ficheiros e, em seguida, clique em Adicionar Ficheiro.
    3. Na caixa de diálogo Adicionar um ficheiro ou pasta, navegue até à pasta %windir%\Tarefas. Certifique-se de que Tarefas está realçada e listada na caixa de diálogo Pasta.
    4. Clique em OK.
    5. Na caixa de diálogo que abre, clique para limpar as caixas de verificação correspondentes a Controlo Total, Modificar e Escrever referentes a Administradores e Sistema.
    6. Clique em OK.
    7. Na caixa de diálogo Adicionar Objecto, clique em Substituir permissões existentes em todas as subchaves com permissões herdáveis.
    8. Clique em OK.
  3. Defina as funcionalidades de Reprodução Automática (Execução Automática) como desactivadas. Desta forma, evita que o software maligno Conficker se propague através das funcionalidades de Reprodução Automática incorporadas no Windows.

    Nota: dependendo da versão do Windows que estiver a utilizar, existem actualizações diferentes cuja instalação é necessária para desactivar correctamente a funcionalidade de Execução Automática:
    • Para desactivar a funcionalidade de Execução Automática no Windows Vista ou no Windows Server 2008, é necessário ter instalada a actualização de segurança 950582 (descrita no boletim de segurança MS08-038).
    • Para desactivar a funcionalidade de Execução Automática no Windows XP, no Windows Server 2003 ou no Windows 2000, é necessário ter instalada a actualização de segurança 950582, a actualização 967715 ou a actualização 953252.
    Para definir as funcionalidades de Reprodução Automática (Execução Automática) como desactivadas, siga estes passos:.
    1. No mesmo GPO criado anteriormente, desloque-se para um das pastas seguintes:
      • Num domínio do Windows Server 2003, desloque-se para a pasta seguinte:
        Computer Configuration\Administrative Templates\System
      • Num domínio do Windows 2008, desloque-se para a pasta seguinte:
        Computer Configuration\Administrative Templates\Windows Components\Autoplay Policies
    2. Abra a política Desactivar Reprodução Automática.
    3. Na caixa de diálogo Desactivar Reprodução Automática, clique em Activado.
    4. No menu pendente, clique em Todas as unidades.
    5. Clique em OK.
  4. Feche a Consola de Gestão de Políticas de Grupo.
  5. Ligue o GPO que acabou de criar à localização à qual pretende que este se aplique.
  6. Aguarde tempo suficiente para que as definições de Política de Grupo sejam actualizadas em todos os computadores. Geralmente, a replicação da Política de Grupo demora cinco minutos a ser executada para cada controlador de domínio e, em seguida, 90 minutos a ser executada para o resto dos sistemas. Duas horas deverão ser suficientes. No entanto, poderá ser necessário mais tempo, dependendo do ambiente.
  7. Assim que as definições de Política de Grupo tiverem sido propagadas, limpe o software maligno dos sistemas.

    Para o fazer, siga estes passos:
    1. Execute análises completas de antivírus em todos os computadores.
    2. Se o seu software antivírus não detectar o Conficker, poderá utilizar o Analista de Segurança da Microsoft para eliminar o software maligno. Para mais informações, visite a seguinte página Web da Microsoft: http://www.microsoft.com/security/scanner/pt-pt/default.aspxNota Poderá ter de executar alguns passos manuais para eliminar todos os efeitos do software maligno. Recomenda-se que reveja os passos listados na secção "Passos manuais para remover o vírus Win32/Conficker" deste artigo para limpar todos os efeitos do software maligno.

Recuperação

Execute o Analista de Segurança da Microsoft.

O Centro Microsoft de Protecção Contra Software Maligno actualizou o Analista de Segurança da Microsoft. Esta é uma ferramenta binária autónoma, útil na remoção de software maligno prevalecente, e pode contribuir para a remoção da família de software maligno Win32/Conficker.

Nota O Analista de Segurança da Microsoft não impede uma nova infecção, uma vez que não se trata de um programa antivírus em tempo real.

Pode transferir o Analista de Segurança da Microsoft a partir do seguinte Web site da Microsoft:
http://www.microsoft.com/security/scanner/pt-pt/default.aspx

Nota: a ferramenta de Varrimento de Sistemas Autónomos também remove esta infecção. Esta ferramenta está disponível como componente do Microsoft Desktop Optimization Pack 6.0 ou através do Suporte ao Cliente. Para obter o Microsoft Desktop Optimization Pack, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx
Se estiver a ser executado o Microsoft Security Essentials ou o Microsoft Forefront Client Security no sistema, estes programas também irão bloquear a ameaça antes desta ser instalada.

Passos manuais para remover o vírus Win32/Conficker

Notas
  • Estes passos manuais deixam de ser necessários e apenas deverão ser utilizados se não tiver software antivírus para remover o vírus Conficker.
  • Dependendo da variante do vírus Win32/Conficker com a qual o computador está infectado, é possível que alguns dos valores referidos nesta secção possam não ter sido alterados pelo vírus.
Os seguintes passos detalhados podem ajudá-lo a remover manualmente o Conficker de um sistema:
  1. Inicie sessão no sistema utilizando uma conta local.

    Importante: se for possível, não inicie sessão no sistema utilizando uma conta de Domínio. Em particular, não inicie sessão utilizando uma conta de Administrador de Domínio. O software maligno faz-se passar pelo utilizador que iniciou sessão e acede aos recursos da rede utilizando as credenciais desse mesmo utilizador. Este comportamento permite que o software maligno se propague.
  2. Pare o serviço de Servidor. Esta acção remove as partilhas administrativas do sistema, de forma que o software maligno não se possa propagar por este método.

    Nota: o serviço de Servidor deve ser desactivado apenas temporariamente enquanto limpa o software maligno do seu ambiente. Este aspecto é particularmente verdadeiro em servidores de produção, uma vez que este passo vai afectar a disponibilidade de recursos da rede. Logo que o ambiente esteja limpo, o serviço de Servidor pode voltar a ser activado.

    Para parar o serviço de Servidor, utilize os Serviços da Consola de Gestão da Microsoft (MMC). Para o fazer, siga estes passos:
    1. Em função do seu sistema, faça o seguinte:
      • No Windows Vista e no Windows Server 2008, clique em Iniciar, escreva services.msc na caixa Iniciar Procura e, em seguida, clique em services.msc na lista Programas.
      • No Windows 2000, Windows XP e Windows Server 2003, clique em Iniciar, clique em Executar, escreva services.msc e, em seguida, clique em OK.
    2. Faça duplo clique em Servidor.
    3. Clique em Parar.
    4. Seleccione Desactivado na caixa Tipo de arranque.
    5. Clique em Aplicar.
  3. Remova todas as tarefas programadas criadas pelo AT. Para o fazer, escreva AT /Eliminar /Sim numa linha de comandos.
  4. Parar o serviço Programador de Tarefas.
    • Para parar o serviço Programador de Tarefas no Windows 2000, Windows XP e Windows Server 2003, utilize os Serviços da Consola de Gestão da Microsoft (MMC) ou o utilitário SC.exe.
    • Para parar o serviço Programador de Tarefas no Windows Vista ou no Windows Server 2008, siga estes passos.

      Importante: esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior segurança, efectue uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
      322756 Como efectuar cópias de segurança e restaurar o registo no Windows
      1. Clique em Iniciar, escreva regedit na caixa Iniciar Procura e, em seguida, clique em regedit.exe na lista Programas.
      2. Localize e clique na seguinte subchave de registo:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. No painel de detalhes, clique com o botão direito do rato na entrada DWORD Iniciar e, em seguida, clique em Modificar.
      4. Na caixa Dados do valor, escreva 4 e clique em OK.
      5. Saia do Editor de Registo e reinicie o computador.

        Nota: o serviço Programador de Tarefas deve ser desactivado apenas temporariamente enquanto limpa o software maligno do seu ambiente. Tal aplica-se particularmente no Windows Vista e no Windows Server 2008, uma vez que este passo irá afectar várias Tarefas Agendadas incorporadas. Logo que o ambiente esteja limpo, reactive o serviço de Servidor.
  5. Transfira e instale manualmente a actualização de segurança 958644 (MS08-067). Para obter mais informações, visite o seguinte Web site da Microsoft:
    http://technet.microsoft.com/en-us/security/bulletin/ms08-067
    Nota: este site pode estar bloqueado devido à infecção por software maligno. Neste caso, tem de transferir a actualização a partir de um computador não infectado e, a seguir, transferir o ficheiro de actualização para o sistema infectado. Recomendamos que grave a actualização num CD porque o CD gravado não permite nova gravação. Portanto, não pode ser infectado. Se não dispuser de uma unidade de CD gravável, é possível que a única forma de copiar a actualização para o sistema infectado seja através de uma unidade de memória USB amovível. Se utilizar uma unidade amovível, lembre-se de que o software maligno pode infectar a mesma com um ficheiro Autorun.inf. Depois de copiar a actualização para a unidade amovível, certifique-se de que altera a unidade para o modo só de leitura, se esta opção estiver disponível para o seu dispositivo. Se o modo só de leitura estiver disponível, é habitualmente activado utilizando um comutador físico no dispositivo. A seguir, depois de ter copiado o ficheiro de actualização para o computador infectado, verifique a unidade amovível para ver se foi gravado um ficheiro Autorun.inf na mesma. Se tiver sido, altere o nome do ficheiro Autorun.inf para algo como, por exemplo, Autorun.bad, para que o mesmo não possa ser executado quando a unidade amovível estiver ligada a um computador.
  6. Reponha qualquer palavra-passe de Administrador Local ou de Administrador de Domínio, de forma a utilizar uma nova palavra-passe forte. Para obter mais informações, visite o seguinte Web site da Microsoft:
    http://technet.microsoft.com/pt-pt/library/cc875814.aspx
  7. No Editor de Registo, localize e clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. No painel de detalhes, clique com o botão direito do rato na entrada netsvcs e, em seguida, clique em Modificar.
  9. Se o computador estiver infectado com o vírus Win32/Conficker, será listado um nome de serviço aleatório.

    Nota: no que diz respeito ao Win32/Conficker.B, o nome do serviço era constituído por letras aleatórias e encontrava-se na parte inferior da lista. Relativamente a variantes mais recentes, o nome do serviço poderá encontrar-se em qualquer parte da lista e poderá aparentar ser mais legítimo. Caso o nome aleatório do serviço não se encontre na parte inferior, compare o sistema com a "Tabela de serviços" neste procedimento para determinar qual o nome do serviço que poderá ter sido adicionado pelo Win32/Conficker. Para verificar, compare a lista na "Tabela de serviços" com um sistema semelhante que saiba que não está infectado.

    Tome nota do nome do serviço de software maligno. Irá necessitar dessa informação mais tarde durante este procedimento.
  10. Elimine a linha que contém a referência ao serviço de software maligno. Certifique-se de que deixa uma linha em branco inserida sob a última entrada legítima indicada e, em seguida, clique em OK.

    Notas sobre a Tabela de serviços
    • Todas as entrada na Tabela de serviços são entradas válidas, à excepção dos itens realçados a negrito.
    • Os itens realçados a negrito são exemplos de elementos que podem ser adicionados pelo vírus Win32/Conficker ao valor netsvcs na chave de registo SVCHOST.
    • Estes itens poderão não representar uma lista completa de serviços, dependendo do que tiver instalado no sistema.
    • A Tabela de serviços é proveniente de uma instalação predefinida do Windows.
    • A entrada adicionada pelo vírus Win32/Conficker à lista representa uma técnica de ofuscação. A entrada maliciosa, realçada, que supostamente deverá assemelhar-se à primeira letra é um "L" em minúscula. No entanto, na verdade trata-se de um "I" em maiúscula. Devido ao tipo de letra utilizado pelo sistema operativo, o "I" em maiúscula assemelha-se a um "L" em minúscula.

    Tabela de serviços

    Reduzir esta tabelaExpandir esta tabela
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    TemasTemasBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvAgendaRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessAgenda
    wuauservwuauservTemasSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiTemas
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcagendahelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    agendahkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. Num procedimento anterior, tomou nota do nome do serviço de software maligno. No nosso exemplo, o nome da entrada maliciosa era "Iaslogon". Utilizando esta informação, siga estes passos:
    1. No Editor de Registo, localize e clique na seguinte subchave de registo, em que BadServiceName é o nome do serviço de software maligno:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      Por exemplo, localize e, em seguida, clique na seguinte subchave de registo:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Clique com o botão direito do rato na subchave no painel de navegação para o nome do serviço de software maligno e, em seguida, clique em Permissões.
    3. Na caixa de diálogo Entrada de Permissões para o SvcHost, clique em Avançadas.
    4. Na caixa de diálogo Definições Avançadas de Segurança, clique para seleccionar as duas caixas de verificação seguintes:
      Herdar do objecto principal as entradas de permissões que se aplicam a objectos secundários. Incluir estas nas entradas definidas explicitamente aqui.

      Substituir as entradas de permissões em todos os objectos secundários pelas entradas aqui mostradas que se aplicam a objectos secundários.
  12. Prima F5 para actualizar o Editor de Registo. No painel de detalhes, pode agora ver e editar a DLL de software maligno carregada como "ServiceDll". Para tal, siga estes passos:
    1. Faça duplo clique na entrada ServiceDll.
    2. Tome nota do caminho do DLL referenciado. Irá necessitar dessa informação mais tarde durante este procedimento. Por exemplo, o caminho do DLL referenciado pode ser semelhante ao seguinte:
       %SystemRoot%\System32\doieuln.dll
      Mude o nome da referência para se assemelhar ao seguinte:
       %SystemRoot%\System32\doieuln.old
    3. Clique em OK.
  13. Remover a entrada do serviço de software maligno da subchave Executar do registo.
    1. No Editor de Registo, localize e clique nas seguintes subchaves de registo:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. Em ambas as subchaves, localize qualquer entrada que comece por "rundll32.exe" e que também faça referência à DLL de software maligno carregada como "ServiceDll" e que identificou no passo 12b. Elimine a entrada.
    3. Saia do Editor de Registo e reinicie o computador.
  14. Verifique se existem ficheiros Autorun.inf nas unidades do sistema. Utilize o Bloco de notas para abrir cada ficheiro e, em seguida, verifique se é um ficheiro Autorun.inf válido. Segue-se um exemplo de um ficheiro Autorun.inf válido habitual.
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    Um ficheiro Autorun.inf válido costuma ter 1 a 2 quilobytes (KB).
  15. Elimine todos os ficheiros Autorun.inf que não pareçam ser válidos.
  16. Reinicie o computador.
  17. Torne os ficheiros ocultos visíveis. Para o fazer, escreva o seguinte comando numa linha de comandos:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Defina Mostrar ficheiros e pastas ocultos para poder ver o ficheiro. Para tal, siga estes passos:
    1. No passo 12b, tomou nota do caminho do ficheiro .dll referenciado para o software maligno. Por exemplo, tomou nota de um caminho semelhante ao seguinte:
      %systemroot%\System32\doieuln.dll
      No Explorador do Windows, abra o directório %systemroot%\System32 ou o directório que contém o software maligno.
    2. Clique em Ferramentas e, em seguida, clique em Opções de Pastas.
    3. Clique no separador Ver.
    4. Seleccione a caixa de verificação Mostrar ficheiros e pastas ocultos.
    5. Clique em OK.
  19. Seleccione o ficheiro .dll.
  20. Edite as permissões relativas ao ficheiro para adicionar Controlo Total para Todos. Para o fazer, siga estes passos:
    1. Clique com o botão direito do rato no ficheiro .dll e, em seguida, clique em Propriedades.
    2. Clique no separador Segurança.
    3. Clique em Todos e, em seguida, clique para seleccionar a caixa de verificação Controlo Total na coluna Permitir.
    4. Clique em OK.
  21. Elimine o ficheiro .dll referenciado para o software maligno. Por exemplo, elimine o ficheiro %systemroot%\System32\doieuln.dll.
  22. Active o BITS, as Actualizações Automáticas, o Relatório de Erros e os serviços do Windows Defender, utilizando os Serviços da Consola de Gestão da Microsoft (MMC).
  23. Desactive a Execução Automática para reduzir o efeito de uma possível reinfecção. Para o fazer, siga estes passos:
    1. Em função do seu ambiente, instale uma das seguintes actualizações:
      • Se estiver a executar o Windows 2000, Windows XP ou o Windows Server 2003, instale a actualização 967715. Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
        967715 Como desactivar a funcionalidade de Execução Automática no Windows
      • Se estiver a executar o Windows Vista ou o Windows Server 2008, instale a actualização de segurança 950582. Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
        950582 MS08-038: Uma vulnerabilidade no Explorador do Windows pode permitir a execução remota de código
      Nota: a actualização 967715 e a actualização de segurança 950582 não estão relacionadas com este problema de software maligno. Estas actualizações têm de ser instaladas para activar a função de registo no passo 23b.
    2. Escreva o seguinte comando numa linha de comandos:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. Se o sistema estiver a executar o Windows Defender, reactive a localização de início automático do Windows Defender. Para o fazer, escreva o seguinte comando na linha de comandos:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide" /f
  25. No Windows Vista e em sistemas operativos posteriores, o software maligno altera a definição global da Optimização Automática da Janela de Recepção de TCP para desactivado. Para voltar a alterar esta definição, escreva o seguinte comando numa linha de comandos:
    netsh interface tcp set global autotuning=normal
Se, depois de concluir este procedimento, o computador parecer estar reinfectado, pode acontecer uma das seguintes situações:
  • Uma das localizações de início automático não foi removida. Por exemplo, o trabalho AT não foi removido ou um ficheiro Autorun.inf não foi removido.
  • A actualização de segurança para MS08-067 foi incorrectamente instalada.
Este software maligno pode alterar outras definições não abrangidas neste artigo. Para obter os mais recentes detalhes sobre o Win32/Conficker, visite a seguinte página Web do Centro Microsoft de Protecção Contra Software Maligno:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Verifique se o sistema está limpo

Verifique se os seguintes serviços foram iniciados:
  • Actualizações Automáticas (wuauserv)
  • Serviço de Transferência Inteligente em Segundo Plano (BITS)
  • Windows Defender (windefend) (se aplicável)
  • Serviço de Relatório de Erros do Windows
Para o fazer, escreva os seguintes comandos na linha de comandos. Prima ENTER após cada comando:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Depois de executado cada comando, receberá uma mensagem semelhante a esta:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Neste exemplo, "STATE : 4 RUNNING" indica que o serviço está a ser executado.

Para verificar o estado da subchave de registo SvcHost, siga estes passos:
  1. No Editor de Registo, localize e clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. No painel de detalhes, faça duplo clique em netsvcs e, em seguida, reveja os nomes de serviço enumerados. Percorra a lista até ao fim. Se o computador for reinfectado com o Conficker, será listado um nome de serviço aleatório. Por exemplo, neste procedimento, o nome do serviço de software maligno é "Iaslogon".
Se estes passos não resolverem o problema, contacte o fornecedor do seu software antivírus. Para obter mais informações sobre este problema, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
49500 Lista de fornecedores de software antivírus
Se não tiver um fornecedor de software antivírus ou se o seu fornecedor de software antivírus não o puder ajudar, contacte o Suporte Técnico ao Consumidor da Microsoft para obter ajuda adicional.

Depois de o ambiente estar totalmente limpo

Depois de o ambiente estar totalmente limpo, siga estes passos:
  1. Reactive o serviço de Servidor e o serviço Programador de Tarefas.
  2. Restaure as permissões predefinidas na chave de registo SVCHOST e na pasta Tarefas. Poderá repor as predefinições utilizando as definições de Política de Grupo. Se se limitar a remover uma política, poderá não ser possível repor as permissões predefinidas. Para mais informações, consulte a tabela de permissões predefinidas na secção "Passos de mitigação".
  3. Actualize o computador, instalando as actualizações de segurança em falta. Para o fazer, utilize o Windows Update, o servidor de Microsoft Windows Server Update Services (WSUS), o Systems Management Server (SMS), o System Center Configuration Manager (Configuration Manager 2007) ou o seu produto de gestão de actualizações de outro fabricante. Se utilizar o SMS ou o Configuration Manager 2007, deve primeiro reactivar o serviço de Servidor. Caso contrário, o SMS ou o Configuration Manager 2007 podem não conseguir actualizar o sistema.

Identificar sistemas infectados

Se tiver problemas na identificação de sistemas infectados com o Conficker, os detalhes fornecidos no seguinte blogue TechNet poderão ser úteis:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Tabela de permissões predefinidas

A tabela que se segue mostra permissões predefinidas para cada sistema operativo. Estas permissões têm efeito antes de aplicar as alterações recomendadas neste artigo. Estas permissões poderão diferir das permissões definidas no seu ambiente. Deste modo, é necessário que anote as suas definições antes de efectuar quaisquer alterações. É necessário efectuar este procedimento para que possa restaurar as suas definições após limpar o sistema.
Reduzir esta tabelaExpandir esta tabela
Sistema operativo Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
DefiniçãoRegisto SvchostPasta TarefasRegisto SvchostPasta TarefasRegisto SvchostPasta TarefasRegisto SvchostPasta TarefasRegisto SvchostPasta Tarefas
Conta
Administradores (Grupo Local)Controlo TotalControlo TotalControlo TotalControlo TotalControlo TotalControlo TotalControlo TotalControlo TotalControlo TotalControlo Total
SistemaControlo TotalControlo TotalControlo TotalControlo TotalControlo TotalControlo TotalControlo TotalControlo TotalControlo TotalControlo Total
Utilizadores Avançados (Grupo Local)não aplicávelnão aplicávelnão aplicávelnão aplicávelLernão aplicávelLernão aplicávelLernão aplicável
Utilizadores (Grupo Local)Especial não aplicávelEspecialnão aplicávelLernão aplicávelLernão aplicávelLernão aplicável
Aplicar a: Esta chave e subchavesAplicar a: Esta chave e subchaves
Valor da ConsultaValor da Consulta
Enumerar SubchavesEnumerar Subchaves
NotificarNotificar
Controlo de LeituraControlo de Leitura
Utilizadores Autenticadosnão aplicávelEspecialnão aplicávelEspecialnão aplicávelnão aplicávelnão aplicávelnão aplicávelnão aplicávelnão aplicável
Aplicar a: Esta pasta apenasAplicar a: Esta pasta apenas
Percorrer PastaPercorrer Pasta
Listar PastasListar Pastas
Atributos de LeituraAtributos de Leitura
Atributos Expandidos de LeituraAtributos Expandidos de Leitura
Criar FicheirosCriar Ficheiros
Permissões de LeituraPermissões de Leitura
Operadores de Cópia de Segurança (Grupo Local)não aplicávelnão aplicávelnão aplicávelnão aplicávelnão aplicávelEspecialnão aplicávelEspecial
Aplicar a: Esta pasta apenasAplicar a: Esta pasta apenas
Percorrer PastaPercorrer Pasta
Listar PastasListar Pastas
Atributos de LeituraAtributos de Leitura
Atributos Expandidos de LeituraAtributos Expandidos de Leitura
Criar FicheirosCriar Ficheiros
Permissões de LeituraPermissões de Leitura
Todosnão aplicávelnão aplicávelnão aplicávelnão aplicávelnão aplicávelnão aplicávelnão aplicávelnão aplicávelnão aplicávelEspecial
Aplicar a: Esta pasta, subpasta e ficheiros
Percorrer Pasta
Listar Pastas
Atributos de Leitura
Atributos Expandidos de Leitura
Criar Ficheiros
Criar Pastas
Atributos de Escrita
Atributos Expandidos de Escrita
Permissões de Leitura

Ajuda adicional

 Para obter mais ajuda para este problema, se estiver localizado nos Estados Unidos poderá estabelecer contacto com um funcionário da Mesa de Resposta: 
Mesa de Resposta
Nota Este é um artigo de ?PUBLICAÇÃO RÁPIDA? criado directamente a partir da organização de suporte da Microsoft. As informações contidas neste artigo são fornecidas ?tal como estão? em resposta a problemas recentes. Devido à urgência em disponibilizar este artigo, os materiais poderão incluir erros tipográficos e ser revistos em qualquer altura sem aviso prévio. Consulte os Termos de Utilização para outras considerações.

Propriedades

Artigo: 962007 - Última revisão: 15 de janeiro de 2013 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1 nas seguintes plataformas
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 nas seguintes plataformas
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 nas seguintes plataformas
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Service Pack 3 nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Service Pack 4 nas seguintes plataformas
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Palavras-chave: 
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com