Alerta de vírus sobre o worm Win32/Conficker

Traduções deste artigo Traduções deste artigo
ID do artigo: 962007 - Exibir os produtos aos quais esse artigo se aplica.
O suporte para Windows Vista Service Pack 1 (SP1) termina em 12 de julho de 2011. Para continuar recebendo atualizações de segurança do Windows, certifique-se de estar executando o Windows Vista com Service Pack 2 (SP2). Para obter mais informações, consulte esta página da Microsoft: O suporte está terminando para algumas versões do Windows.
Expandir tudo | Recolher tudo

Neste artigo

Resumo

As informações neste artigo da Base de Dados de Conhecimentos se destinam a ambientes corporativos com administradores de sistema que possam implementar os detalhes nele contidos. Não há por que usar este artigo se o programa antivírus limpar o vírus corretamente e seus sistemas estiverem totalmente atualizados. Para confirmar se o vírus Conficker foi limpo do sistema, execute uma verificação rápida nesta página da Web : http://www.microsoft.com/security/scanner/pt-br/ Para obter informações detalhadas sobre o vírus Conficker, visite a seguinte página da Web da Microsoft :
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Sintomas de infecção

Se seu computador estiver infectado com esse worm, você pode não apresentar alguns sintomas ou pode ter quaisquer dos sintomas a seguir:
  • As diretivas de bloqueio de conta estão sendo ultrapassadas.
  • Atualizações Automáticas, Serviço de Transferência Inteligente em Segundo Plano (BITS), Windows Defender e Error Reporting Services estão desabilitados.
  • Os controladores de domínio respondem lentamente a solicitações de cliente.
  • A rede está congestionada.
  • Vários sites relacionados à segurança não podem ser acessados.
  • Várias ferramentas relacionadas à segurança não serão executadas. Para obter uma lista de ferramentas conhecidas, visite a página da Web da Microsoft a seguir e clique na guia Analysis, onde há informações sobre o Win32/Conficker.D. Para obter mais informações, visite esta página da Web da Microsoft:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Para obter mais informações sobre Win32/Conficker, visite a página a seguir do Microsoft Malware Protection Center:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Métodos de propagação

O Win32/Conficker tem vários métodos de propagação. Isso inclui os seguintes:
  • Exploração da vulnerabilidade corrigida pela atualização de segurança 958644 (MS08-067)
  • O uso de compartilhamentos de rede
  • O uso da funcionalidade Reprodução Automática
Portanto, você deve ter cuidado ao limpar uma rede de modo que a ameaça não seja reintroduzida nos sistemas que foram limpos anteriormente.

Observação A variante Win32/Conficker.D não se espalha para unidades removíveis nem pastas compartilhadas em uma rede. O Win32/Conficker.D é instalado por variantes anteriores do Win32/Conficker.

Prevenção

  • Use senhas de administrador fortes que sejam exclusivas para todos os computadores.
  • Não faça logon em computadores usando credenciais de Administrador de Domínio nem credenciais que tenham acesso a todos os computadores.
  • Verifique se as atualizações de segurança mais recentes foram aplicadas a todos os sistemas.
  • Desative o recurso de Reprodução Automática. Para obter mais informações, consulte a etapa 3 da seção "Criar um objeto de Diretiva de Grupo".
  • Remova direitos excessivos de compartilhamentos. Isso inclui remover permissões de gravação na raiz de todos os compartilhamentos.

Etapas de atenuação

Interromper o Win32/Conficker de divulgar usando as configurações da Política de Grupo

Observações
  • Importante Não deixe de documentar todas as atuais configurações antes de fazer qualquer alteração sugerida neste artigo.
  • Este procedimento não remove o malware Conficker do sistema. Ele somente interrompe a expansão do malware. Será necessário usar um produto antivírus para remover o malware Conficker do sistema. Ou então siga as etapas na seção "Etapas manuais para remover a variante Conficker.b" deste artigo da Base de Dados de Conhecimento para remover o malware do sistema manualmente.
  • Talvez você não consiga instalar corretamente aplicativos, service packs ou outras atualizações enquanto vigorarem as alterações de permissão recomendadas nas etapas a seguir. Isto inclui, mas não está limitado a, aplicar atualizações usando o Windows Update, Microsoft Windows Server Update Services (WSUS) e System Center Configuration Manager (Configuration Manager 2007), pois estes produtos dependem de componentes das Atualizações Automáticas. Não deixe de alterar as permissões de volta às configurações padrão depois de limpar o sistema.
  • Para obter mais informações sobre permissões padrão da chave do Registro SVCHOST e da Pasta Tarefas mencionadas na seção "Criar um objeto de Diretiva de Grupo", consulte a tabela Permissões padrão no final deste artigo.

Criar um objeto de Diretiva de Grupo

Crie um novo objeto de Diretiva de Grupo (GPO) que se aplique a todos os computadores em uma unidade organizacional (OU) específica, em um site ou domínio, conforme necessário em seu ambiente.

Para fazer isto, execute as seguintes etapas:
  1. Defina a diretiva para remover as permissões de gravação para a seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Isto evita que o serviço de malware nomeado aleatoriamente seja criado no valor de Registro netsvcs.

    Para fazer isto, execute as seguintes etapas:
    1. Abra o Console de Gerenciamento de Diretiva de Grupo (GPMC).
    2. Crie um novo GPO. Atribua o nome desejado ao objeto.
    3. Abra o novo GPO e mova-o para a seguinte pasta:
      Configurações do Computador\Configurações do Windows\Configurações de Segurança\Registro
    4. Clique com o botão direito do mouse em Registro e clique em Adicionar Chave.
    5. Na caixa de diálogo Selecionar Chave do Registro, expanda Máquina e, em seguida, mova-os para a seguinte pasta:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Clique em OK.
    7. Na caixa de diálogo que abrir, clique para limpar a caixa de seleção Controle Total de Administradores e Sistema.
    8. Clique em OK.
    9. Na caixa de diálogo Adicionar Objeto, clique em Substituir permissões existentes em todas as subchaves com permissões herdadas.
    10. Clique em OK.
  2. Defina a diretiva para remover as permissões de gravação para a pasta %windir%\tasks: Isto impede que o malware Conficker crie Tarefas agendadas que possam infectar o sistema novamente.

    Para fazer isto, execute as seguintes etapas:
    1. No mesmo GPO criado anteriormente, mova para a seguinte pasta:
      Configurações do Computador\Configurações do Windows\Configurações de Segurança\Sistema de Arquivos
    2. Clique com o botão direito do mouse em Sistema de Arquivos e clique em Adicionar Arquivo.
    3. Na caixa de diálogo Adicionar um arquivo ou pasta, vá até a pasta %windir%\Tasks. Verifique se o item Tarefas está realçado e listado na caixa de diálogo Pasta.
    4. Clique em OK.
    5. Na caixa de diálogo que é aberta, desmarque as caixas de seleção Controle total, Modificar e Gravar para Administradores e Sistema.
    6. Clique em OK.
    7. Na caixa de diálogo Adicionar objeto, clique em Substituir permissões existentes em todas as subchaves com permissões herdadas.
    8. Clique em OK.
  3. Defina os recursos de Reprodução automática (Execução automática) para desativados. Isto impede que o malware Conficker se espalhe usando os recursos de Reprodução automática internos no Windows.

    Observação Existem atualizações diferentes que devem ser instaladas para desabilitar a funcionalidade do Autorun corretamente, de acordo com a versão do Windows que você estiver usando:
    • Para desabilitar a funcionalidade do Autorun no Windows Vista ou no Windows Server 2008, é necessário ter a atualização de segurança 950582 instalada (descrito no boletim de segurança MS08-038).
    • Para desabilitar a funcionalidade do Autorun no Windows XP, no Windows Server 2003 ou no Windows 2000, é necessário ter a atualização de segurança 950582, a atualização 967715 ou a 953252 instaladas.
    Para definir os recursos de Reprodução automática (Execução automática) para desativados, siga estas etapas:
    1. No mesmo GPO criado anteriormente, mova para uma das seguintes pastas:
      • Para um domínio do Windows Server 2003, mova para a seguinte pasta:
        Configurações do Computador\Modelos Administrativos\Sistema
      • Para um domínio do Windows 2008, mova para a seguinte pasta:
        Configuração do Computador\Modelos Administrativos\Componentes do Windows\Diretivas da Reprodução automática
    2. Abra a diretiva Desativar Reprodução Automática.
    3. Na caixa de diálogo Desativar Reprodução Automática, clique em Habilitado.
    4. No menu suspenso, clique em Todas as unidades.
    5. Clique em OK.
  4. Feche o Console de Gerenciamento de Diretivas de Grupo.
  5. Vincule o GPO criado recentemente ao local que você deseja aplicá-lo.
  6. Permita que as configurações de Diretiva de Grupo atualizem todos os computadores pelo tempo suficiente. Em geral, a replicação da Diretiva de Grupo leva cinco minutos em cada controlador de domínio e, em seguida, 90 minutos para se replicar no restante dos sistemas. Algumas horas devem ser suficientes. Entretanto, dependendo do ambiente, mais tempo pode ser necessário.
  7. Após a propagação das configurações de Diretiva de Grupo, limpe o malware dos sistemas.

    Para fazer isto, execute as seguintes etapas:
    1. Execute varreduras de antivírus completas em todos os computadores.
    2. Se o seu software antivírus não detecta o Conficker, é possível usar o Microsoft Safety Scanner para excluir o malware. Para obter mais informações, visite a seguinte página da Microsoft: http://www.microsoft.com/security/scanner/pt-br/Observação Você pode precisar realizar algumas etapas manuais para excluir todos os efeitos do malware. Recomendamos que você revise as etapas listadas na seção "Etapas manuais para remover o vírus Win32/Conficker" deste artigo para limpar todos os efeitos do malware.

Recuperação

Execute o Microsoft Safety Scanner.

O Centro de Proteção Contra Malware da Microsoft atualizou o Microsoft Safety Scanner. Isso é um binário autônomo que é útil na remoção de software mal-intencionado predominante e pode ajudar a remover a família do malware Win32/Conficker.

Observação O Microsoft Safety Scanner não evita uma nova infecção pois não é um programa antivírus em tempo real.

É possível baixar o Microsoft Safety Scanner pelo seguinte site da Microsoft:
http://www.microsoft.com/security/scanner/pt-br/

Observação A ferramenta Stand-Alone System Sweeper também removerá essa infecção. Essa ferramenta está disponível como um componente do Microsoft Desktop Optimization Pack 6.0 ou por meio do Suporte e Atendimento ao Cliente. Para obter o Microsoft Desktop Optimization Pack, visite o seguinte site da Microsoft :
http://www.microsoft.com/pt-br/windows/enterprise/products-and-technologies/mdop/default.aspx
Se o Microsoft Security Essentials ou o Microsoft Forefront Client Security estiver em execução no sistema, esses programas também bloqueiam a ameaça antes de ser instalada.

Etapas manuais para remover o vírus Win32/Conficker

Observações
  • Estas etapas manuais não são mais necessárias e só devem ser usadas se você não tiver um software antivírus para remover o vírus Conficker.
  • Dependendo da variante do Win32/Conficker que está infectando o computador, alguns valores mencionados nesta seção poderão não ser alterados pelo vírus.
As etapas detalhadas a seguir podem ajudar a remover o Conficker de um sistema manualmente:
  1. Faça logon no sistema usando uma conta local.

    Importante Se possível, não faça logon no sistema usando uma conta de Domínio. Principalmente, não faça logon usando uma conta de Administrador do Domínio. O malware representa o usuário conectado e acessa os recursos de rede usando as credenciais do mesmo. Esse comportamento permite que o malware se espalhe.
  2. Interrompa o serviço do servidor. Isso remove os compartilhamentos do Administrador do sistema de forma que o malware não possa se espalhar usando esse método.

    Observação O serviço do servidor deve ser desabilitado apenas temporariamente enquanto você limpa o malware do seu ambiente. Isso é particularmente importante em servidores de produção porque essa etapa afetará a disponibilidade do recurso da rede. Assim que o ambiente estiver limpo, o serviço do servidor poderá ser habilitado novamente.

    Para interromper o serviço do servidor, use o MMC (Console de Gerenciamento Microsoft) de Serviços. Para fazer isto, execute as seguintes etapas:
    1. Dependendo do seu sistema, execute os seguintes procedimentos:
      • No Windows Vista e Windows Server 2008, clique em Iniciar, digite services.msc na caixa Iniciar Pesquisa e clique em services.msc na lista Programas.
      • No Windows 2000, Windows XP e Windows Server 2003, clique em Iniciar, clique em Executar, digite services.msc e clique em OK.
    2. Clique duas vezes em Servidor.
    3. Clique em Parar.
    4. Selecione Desativada na caixa Tipo de inicialização.
    5. Clique em Aplicar.
  3. Remova todas as tarefas agendadas criadas por AT. Para fazer isso, digite AT /Excluir /Sim em um prompt de comando.
  4. Pare o serviço Agendador de Tarefas.
    • Para parar o serviço Agendador de Tarefas no Windows 2000, Windows XP e Windows Server 2003, use o Console de Gerenciamento Microsoft (MMC) de Serviços ou o utilitário SC.exe.
    • Para parar o serviço Agendador de Tarefas no Windows Vista ou no Windows Server 2008, siga estas etapas.

      Importante Essa seção, método ou tarefa contém etapas que informam sobre como modificar o Registro. No entanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Por isso, certifique-se de que essas etapas sejam seguidas cuidadosamente. Para obter mais proteção, faça um backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter informações adicionais sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
      322756 Como fazer o backup e restaurar o Registro no Windows
      1. Clique em Iniciar, digite regedit na caixa Iniciar Pesquisa e clique em regedit.exe na lista Programas.
      2. Localize e clique na seguinte subchave do Registro:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. No painel de detalhes, clique com o botão direito do mouse na entrada DWORD Iniciar e em Modificar.
      4. Na caixa Dados do valor, digite 4 e clique em OK.
      5. Saia do Editor do Registro e reinicie o computador.

        Observação O serviço do Agendador de Tarefas deve ser desabilitado apenas temporariamente enquanto você limpa o malware do seu ambiente. Isso é particularmente importante no Windows Vista e no Windows Server 2008, pois esta etapa afetará várias Tarefas Agendadas internas. Assim que o ambiente estiver limpo, habilite o serviço do servidor novamente.
  5. Baixe e instale manualmente a atualização de segurança 958644 (MS08-067). Para obter mais informações, visite o seguinte site da Microsoft :
    http://www.microsoft.com/brasil/technet/security/Bulletin/MS08-067.mspx
    Observação Este site pode ser bloqueado devido à infecção do malware. Nesse caso, você deve baixar a atualização de um computador que não esteja infectado e depois transferir o arquivo de atualização para o sistema infectado. Recomendamos que você grave a atualização em um CD porque o CD gravado não é gravável. Portanto, ele não pode ser infectado. Se uma unidade de CD gravável não estiver disponível, uma unidade de memória USB removível pode ser a única forma de copiar a atualização para o sistema infectado. Se você usar uma unidade removível, verifique se o malware pode infectar a unidade com um arquivo Autorun.inf. Depois de copiar a atualização para a unidade removível, certifique-se de que você alterou a unidade para o modo somente leitura, se a opção estiver disponível para seu dispositivo. Se o módulo somente leitura estiver disponível, ele será habilitado geralmente usando um comutador físico no dispositivo. Em seguida, depois de copiar o arquivo de atualização para o computador infectado, verifique se um arquivo Autorun.inf foi gravado na unidade removível. Caso ele tenha sido gravado, renomeie o arquivo Autorun.inf file como algo parecido com Autorun.bad para que ele não seja executado quando a unidade removível for conectada a um computador.
  6. Redefina quaisquer senhas de Administrador Local e de Domínio para usar uma nova senha forte. Para obter mais informações, visite o seguinte site da Microsoft :
    http://technet.microsoft.com/pt-br/library/cc875814.aspx
  7. No Editor do Registro, localize e clique na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. No painel de detalhes, clique com o botão direito do mouse na entrada netsvcs e depois em Modificar.
  9. Se o computador estiver infectado com o vírus Win32/Conficker, um nome de serviço aleatório será listado.

    Observação Com o Win32/Conficker.B, o nome do serviço tinha letras aleatórias e ficava no final da lista. Com variantes mais recentes, o nome do serviço pode estar em qualquer posição na lista e talvez pareça mais legítimo. Se o nome aleatório do serviço não estiver no final, compare o sistema com a "tabela Serviços" no procedimento para determinar qual nome de serviço pode ter sido adicionado pelo Win32/Conficker. Para verificar, compare a lista na "tabela Serviços" com um sistema semelhante que você saiba que não está infectado.

    Anote o nome do serviço de malware. Você precisará dessa informação posteriormente neste procedimento.
  10. Exclua a linha que contém a referência ao serviço de malware. Certifique-se de que uma alimentação de linha é deixada em branco abaixo da última entrada legítima listada e clique em OK.

    Observações sobre a tabela Serviços
    • Todas as entradas na tabela Serviços são válidas, exceto os itens destacados em negrito.
    • Os itens destacados em negrito são exemplos do que o vírus Win32/Conficker pode adicionar ao valor netscvcs na chave do Registro SVCHOST.
    • Esta lista de serviços pode não estar completa, dependendo do que está instalado no sistema.
    • A tabela Serviços é de uma instalação padrão do Windows.
    • A entrada adicionada à lista pelo vírus Win32/Conficker é uma técnica de ofuscamento. A entrada destacada mal-intencionada que supostamente parece a primeira letra é um "L" minúsculo. Entretanto, na verdade é um "I" maiúsculo. Por causa da fonte usada pelo sistema operacional, o "I" maiúsculo parece um "L" minúsculo.

    Tabela Serviços

    Recolher esta tabelaExpandir esta tabela
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    TemasTemasPesquisadorAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcPesquisadorIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvAgendaRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessAgenda
    wuauservwuauservTemasSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiTemas
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. Em um procedimento anterior, você anotou o nome do serviço de malware. Nesse exemplo, o nome da entrado do malware era "Iaslogon". Usando essa informação, siga estas etapas:
    1. No Editor do Registro, localize e clique na seguinte subchave do Registro, na qual BadServiceName é o nome do serviço de malware:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      Por exemplo, localize e clique na seguinte sub-chave do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Clique com o botão direito do mouse na subchave no painel de navegação do nome do serviço de malware e clique em Permissões.
    3. Na caixa de diálogo Entrada de permissões para SvcHost, clique em Avançado.
    4. Na caixa de diálogo Configurações Avançadas de Segurança, marque as seguintes caixas de seleção:
      Herdar do pai as entradas de permissão aplicáveis a objetos filho. Incluí-las nas entradas explicitamente definidas aqui.

      Substituir as entradas de permissão em todos os objetos filho pelas entradas aplicáveis mostradas aqui.
  12. Pressione F5 para atualizar o Editor do Registro. No painel de detalhes, é possível ver e editar o DLL de malware que carrega como "ServiceDll". Para fazer isso, execute as seguintes etapas:
    1. Clique duas vezes na entrada ServiceDll.
    2. Anote o caminho do DLL referenciado. Você precisará dessa informação posteriormente neste procedimento. Por exemplo, o caminho do DLL referenciado pode ser semelhante ao seguinte:
       %SystemRoot%\System32\doieuln.dll
      Renomeie a referência para que seja semelhante ao seguinte:
       %SystemRoot%\System32\doieuln.old
    3. Clique em OK.
  13. Remova a entrada do serviço de malware da subchave Executar no Registro.
    1. No Editor do Registro, localize e clique nas seguintes subchaves do Registro:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. Nas duas subchaves, localize todas as entradas que começam com "rundll32.exe" e que referenciam o DLL de malware que carregue como "ServiceDll", identificado na etapa 12b. Exclua a entrada.
    3. Saia do Editor do Registro e reinicie o computador.
  14. Verifique a existência de arquivos Autorun.inf nas unidades do sistema. Use o Bloco de Notas para abrir cada arquivo e depois verifique se é um arquivo Autorun.inf válido. Veja a seguir, um exemplo de um típico arquivo Autorun.inf válido.
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    Geralmente, um Autorun.inf válido possui de 1 a 2 quilobytes (KB).
  15. Exclua todos os arquivos Autorun.inf que não pareçam válidos.
  16. Reinicie o computador.
  17. Torne visíveis os arquivos ocultos. Para isso, digite o seguinte comando em um prompt de comando:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Ative Mostrar pastas e arquivos ocultos para que o arquivo possa ser exibido. Para fazer isso, execute as seguintes etapas:
    1. Na etapa 12b, você anotou o caminho do arquivo .dll referenciado para o malware. Por exemplo, você notou um caminho semelhante ao seguinte:
      %systemroot%\System32\doieuln.dll
      No Windows Explorer, abra o diretório %systemroot%\System32 ou o diretório que contenha o malware.
    2. Clique em Ferramentas e em Opções de pasta.
    3. Clique na guia Modo de exibição.
    4. Marque a caixa de seleção Mostrar pastas e arquivos ocultos.
    5. Clique em OK.
  19. Selecione o arquivo .dll.
  20. Edite as permissões no arquivo para adicionar Controle total para todos. Para fazer isto, execute as seguintes etapas:
    1. Clique com o botão direito do mouse no arquivo .dll e clique em Propriedades.
    2. Clique na guia Segurança.
    3. Clique em Todose marque a caixa de seleção Controle Total na coluna Permitir.
    4. Clique em OK.
  21. Exclua o arquivo .dll referenciado para o malware. Por exemplo, exclua o arquivo %systemroot%\System32\doieuln.dll.
  22. Habilite os serviços BITS, Atualizações Automáticas, Relatório de Erros e Windows Defender usando o Console de Gerenciamento Microsoft (MMC) de Serviços.
  23. Desative a Execução Automática para ajudar a reduzir o efeito de qualquer infecção nova. Para fazer isto, execute as seguintes etapas:
    1. Dependendo do seu sistema, instale uma das seguintes atualizações:
      • Se você estiver executando o Windows 2000, Windows XP ou Windows Server 2003, instale a atualização 967715. Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
        967715 Como desabilitar a funcionalidade do Autorun no Windows
      • Se você estiver executando o Windows Vista ou o Windows Server 2008, instale a atualização de segurança 950582. Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
        950582 MS08-038: Vulnerabilidade no Windows Explorer pode permitir execução remota de código
      Observação A atualização 967715 e a atualização de segurança 950582 não são relacionadas a esse problema de malware. Essas atualizações devem ser instaladas para permitir a função do registro na etapa 23b.
    2. Digite o seguinte comando em um prompt de comando:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. Se o sistema estiver executando o Windows Defender, reabilite o local de início automático do Windows Defender. Para isso, digite o seguinte comando no prompt de comando:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide" /f
  25. Para Windows Vista e sistemas operacionais posteriores, o malware altera a configuração global da janela de recepção de ajuste automático do TCP para desabilitado. Para alterar essa configuração novamente, digite o seguinte comando em um prompt de comando:
    netsh interface tcp set global autotuning=normal
Se, após realizar esse procedimento, o computador parecer estar infectado novamente, uma das condições a seguir pode ser verdadeira:
  • Um dos locais de início automático não foi removido. Por exemplo, ou a tarefa de AT não foi removida ou um arquivo Autorun.inf não foi removido.
  • A atualização de segurança para MS08-067 foi instalada de forma incorreta.
Esse malware pode alterar outras configurações que não são abordadas neste artigo. Visite a seguinte página do Microsoft Malware Protection Center para obter os detalhes mais recentes sobre o Win32/Conficker:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Verifique se o sistema está limpo

Verifique se os serviços a seguir foram iniciados:
  • Atualizações Automáticas (wuauserv)
  • Serviço de Transferência Inteligente em Segundo Plano (BITS)
  • Windows Defender (windefend) (se aplicável)
  • Serviço de Relatório de Erros do Windows
Para isso, digite os seguintes comandos no prompt de comando. Pressione ENTER após cada comando.

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Após cada execução de comando, você receberá uma mensagem semelhante à seguinte:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Nesse exemplo, "STATE : 4 RUNNING" indica que o serviço está em execução.

Para verificar o status da subchave do Registro SvcHost, siga estas etapas:
  1. No Editor do Registro, localize e clique na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. No painel de detalhes, clique duas vezes em netsvcs e revise os nomes de serviço listados. Role a tela para baixo até o final da lista. Se o computador for novamente infectado com o Conficker, será listado um nome de serviço aleatório. Por exemplo, nesse procedimento, o nome do serviço malware é "Iaslogon".
Se essas etapas não resolverem o problema, entre em contato com o seu fornecedor de software antivírus. Para obter mais informações sobre esse problema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
49500 Lista de fornecedores de software antivírus
Se você não tiver um fornecedor de software antivírus ou se ele não puder ajudar, entre em contato com o Atendimento Microsoft para obter ajuda.

Depois que o ambiente estiver completamente limpo

Depois que o ambiente estiver completamente limpo, siga estas etapas:
  1. Reabilite o serviço do servidor e o serviço Agendador de Tarefas.
  2. Restaure as permissões padrão na chave do Registro SVCHOST e na pasta Tarefas. Isso deverá ser revertido às configurações padrão usando as configurações de Diretivas de Grupo. Se apenas uma diretiva for removida, talvez não seja possível retornar às as permissões padrão. Consulte a tabela de permissões padrão na seção "Etapas de atenuação" para obter mais informações.
  3. Atualize o computador instalando as atualizações de segurança ausentes. Para fazer isso, use o Windows Update, Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (Configuration Manager 2007) ou seu produto de gerenciamento de atualizações de terceiros. Se você usar o SMS ou o Configuration Manager 2007, deve primeiro reativar o serviço do Servidor. Caso contrário, o SMS ou o Configuration Manager 2007 poderão não atualizar o sistema.

Identificando sistemas infectados

Se você tiver problemas para identificar sistemas infectados com o Conficker, os detalhes fornecidos neste blog da TechNet poderão ajudar :
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Tabela Permissões padrão

A tabela a seguir mostra permissões padrão para cada sistema operacional. Essas permissões estão em vigor antes de você aplicar as alterações recomendadas neste artigo. Essas permissões podem ser diferentes das permissões definidas no seu ambiente. Portanto, você deve anotar suas configurações antes de fazer qualquer alteração. Você deve fazer isso para poder restaurar as configurações depois de limpar o sistema.
Recolher esta tabelaExpandir esta tabela
Sistema operacional Windows Server 2008Windows VistaWindows Server 2003Windows XP Windows 2000
ConfiguraçãoRegistro SvchostPasta TarefasRegistro SvchostPasta TarefasRegistro SvchostPasta TarefasRegistro SvchostPasta TarefasRegistro SvchostPasta Tarefas
Conta
Administradores (Grupo local)Controle TotalControle TotalControle TotalControle TotalControle TotalControle TotalControle TotalControle TotalControle TotalControle Total
SistemaControle TotalControle TotalControle TotalControle TotalControle TotalControle TotalControle TotalControle TotalControle TotalControle Total
Usuários avançados (Grupo local)Não aplicávelNão aplicávelNão aplicávelNão aplicávelLeituraNão aplicávelLeituraNão aplicávelLeituraNão aplicável
Usuários (Grupo local)Especial Não aplicávelEspecialNão aplicávelLeituraNão aplicávelLeituraNão aplicávelLeituraNão aplicável
Aplicar a: Essa chave e subchavesAplicar a: Essa chave e subchaves
Valor de consultaValor de consulta
Enumerar subchavesEnumerar subchaves
NotificarNotificar
Controle de LeituraControle de Leitura
Usuários autenticadosNão aplicávelEspecialNão aplicávelEspecialNão aplicávelNão aplicávelNão aplicávelNão aplicávelNão aplicávelNão aplicável
Aplicar a: Apenas esta pastaAplicar a: Apenas esta pasta
Desviar PastaDesviar Pasta
Listar PastaListar Pasta
Atributos de LeituraAtributos de Leitura
Atributos de Leitura EstendidosAtributos de Leitura Estendidos
Criar ArquivosCriar Arquivos
Permissões de LeituraPermissões de Leitura
Operadores de cópia (Grupo local)Não aplicávelNão aplicávelNão aplicávelNão aplicávelNão aplicávelEspecialNão aplicávelEspecial
Aplicar a: Apenas esta pastaAplicar a: Apenas esta pasta
Desviar PastaDesviar Pasta
Listar PastaListar Pasta
Atributos de LeituraAtributos de Leitura
Atributos de Leitura EstendidosAtributos de Leitura Estendidos
Criar ArquivosCriar Arquivos
Permissões de LeituraPermissões de Leitura
TodosNão aplicávelNão aplicávelNão aplicávelNão aplicávelNão aplicávelNão aplicávelNão aplicávelNão aplicávelNão aplicávelEspecial
Aplicar a: Esta pasta, subpastas e arquivos
Desviar Pasta
Listar Pasta
Atributos de Leitura
Atributos de Leitura Estendidos
Criar Arquivos
Criar pastas
Atributos de Gravação
Atributos de Gravação Estendidos
Permissões de Leitura

Ajuda adicional

  Para obter mais ajuda com este problema, se você estiver nos Estados Unidos, é possível realizar um chat com uma pessoa ao vivo no Answer Desk: 
Answer Desk

Propriedades

ID do artigo: 962007 - Última revisão: terça-feira, 15 de janeiro de 2013 - Revisão: 2.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Service Pack 1 para Windows Vista nas seguintes plataformas
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 nas seguintes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 nas seguintes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Service Pack 3 para Windows XP nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4 nas seguintes plataformas
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Palavras-chave: 
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com