O suporte para Windows Vista Service Pack 1 (SP1) termina em 12 de julho de 2011. Para continuar recebendo atualizações de segurança do Windows, certifique-se de estar executando o Windows Vista com Service Pack 2 (SP2). Para obter mais informações, consulte esta página da Microsoft: O suporte está terminando para algumas versões do Windows.
Resumo
As informações neste artigo da Base de Dados de Conhecimentos se destinam a ambientes corporativos com administradores de sistema que possam implementar os detalhes nele contidos. Não há por que usar este artigo se o programa antivírus limpar o vírus corretamente e seus sistemas estiverem totalmente atualizados. Para confirmar se o vírus Conficker foi limpo do sistema, execute uma verificação rápida nesta página da Web : http://www.microsoft.com/security/scanner/pt-br/
Para obter informações detalhadas sobre o vírus Conficker, visite a seguinte página da Web da Microsoft :
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker
Sintomas de infecção
Se seu computador estiver infectado com esse worm, você pode não apresentar alguns sintomas ou pode ter quaisquer dos sintomas a seguir:
-
As diretivas de bloqueio de conta estão sendo ultrapassadas.
-
Atualizações Automáticas, Serviço de Transferência Inteligente em Segundo Plano (BITS), Windows Defender e Error Reporting Services estão desabilitados.
-
Os controladores de domínio respondem lentamente a solicitações de cliente.
-
A rede está congestionada.
-
Vários sites relacionados à segurança não podem ser acessados.
-
Várias ferramentas relacionadas à segurança não serão executadas. Para obter uma lista de ferramentas conhecidas, visite a página da Web da Microsoft a seguir e clique na guia Analysis, onde há informações sobre o Win32/Conficker.D. Para obter mais informações, visite esta página da Web da Microsoft:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Para obter mais informações sobre Win32/Conficker, visite a página a seguir do Microsoft Malware Protection Center:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
Métodos de propagação
O Win32/Conficker tem vários métodos de propagação. Isso inclui os seguintes:
-
Exploração da vulnerabilidade corrigida pela atualização de segurança 958644 (MS08-067)
-
O uso de compartilhamentos de rede
-
O uso da funcionalidade Reprodução Automática
Portanto, você deve ter cuidado ao limpar uma rede de modo que a ameaça não seja reintroduzida nos sistemas que foram limpos anteriormente.
Observação A variante Win32/Conficker.D não se espalha para unidades removíveis nem pastas compartilhadas em uma rede. O Win32/Conficker.D é instalado por variantes anteriores do Win32/Conficker.
Prevenção
-
Use senhas de administrador fortes que sejam exclusivas para todos os computadores.
-
Não faça logon em computadores usando credenciais de Administrador de Domínio nem credenciais que tenham acesso a todos os computadores.
-
Verifique se as atualizações de segurança mais recentes foram aplicadas a todos os sistemas.
-
Desative o recurso de Reprodução Automática. Para obter mais informações, consulte a etapa 3 da seção "Criar um objeto de Diretiva de Grupo".
-
Remova direitos excessivos de compartilhamentos. Isso inclui remover permissões de gravação na raiz de todos os compartilhamentos.
Etapas de atenuação
Interromper o Win32/Conficker de divulgar usando as configurações da Política de Grupo
Observações
-
Importante Não deixe de documentar todas as atuais configurações antes de fazer qualquer alteração sugerida neste artigo.
-
Este procedimento não remove o malware Conficker do sistema. Ele somente interrompe a expansão do malware. Será necessário usar um produto antivírus para remover o malware Conficker do sistema. Ou então siga as etapas na seção "Etapas manuais para remover a variante Conficker.b" deste artigo da Base de Dados de Conhecimento para remover o malware do sistema manualmente.
-
Talvez você não consiga instalar corretamente aplicativos, service packs ou outras atualizações enquanto vigorarem as alterações de permissão recomendadas nas etapas a seguir. Isto inclui, mas não está limitado a, aplicar atualizações usando o Windows Update, Microsoft Windows Server Update Services (WSUS) e System Center Configuration Manager (Configuration Manager 2007), pois estes produtos dependem de componentes das Atualizações Automáticas. Não deixe de alterar as permissões de volta às configurações padrão depois de limpar o sistema.
-
Para obter mais informações sobre permissões padrão da chave do Registro SVCHOST e da Pasta Tarefas mencionadas na seção "Criar um objeto de Diretiva de Grupo", consulte a tabela Permissões padrão no final deste artigo.
Criar um objeto de Diretiva de Grupo
Crie um novo objeto de Diretiva de Grupo (GPO) que se aplique a todos os computadores em uma unidade organizacional (OU) específica, em um site ou domínio, conforme necessário em seu ambiente.
Para fazer isto, execute as seguintes etapas:
-
Defina a diretiva para remover as permissões de gravação para a seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost Isto evita que o serviço de malware nomeado aleatoriamente seja criado no valor de Registro netsvcs.
Para fazer isto, execute as seguintes etapas:-
Abra o Console de Gerenciamento de Diretiva de Grupo (GPMC).
-
Crie um novo GPO. Atribua o nome desejado ao objeto.
-
Abra o novo GPO e mova-o para a seguinte pasta:
Configurações do Computador\Configurações do Windows\Configurações de Segurança\Registro
-
Clique com o botão direito do mouse em Registro e clique em Adicionar Chave.
-
Na caixa de diálogo Selecionar Chave do Registro, expanda Máquina e, em seguida, mova-os para a seguinte pasta:
Software\Microsoft\Windows NT\CurrentVersion\Svchost
-
Clique em OK.
-
Na caixa de diálogo que abrir, clique para limpar a caixa de seleção Controle Total de Administradores e Sistema.
-
Clique em OK.
-
Na caixa de diálogo Adicionar Objeto, clique em Substituir permissões existentes em todas as subchaves com permissões herdadas.
-
Clique em OK.
-
-
Defina a diretiva para remover as permissões de gravação para a pasta %windir%\tasks: Isto impede que o malware Conficker crie Tarefas agendadas que possam infectar o sistema novamente.
Para fazer isto, execute as seguintes etapas:-
No mesmo GPO criado anteriormente, mova para a seguinte pasta:
Configurações do Computador\Configurações do Windows\Configurações de Segurança\Sistema de Arquivos
-
Clique com o botão direito do mouse em Sistema de Arquivos e clique em Adicionar Arquivo.
-
Na caixa de diálogo Adicionar um arquivo ou pasta, vá até a pasta %windir%\Tasks. Verifique se o item Tarefas está realçado e listado na caixa de diálogo Pasta.
-
Clique em OK.
-
Na caixa de diálogo que é aberta, desmarque as caixas de seleção Controle total, Modificar e Gravar para Administradores e Sistema.
-
Clique em OK.
-
Na caixa de diálogo Adicionar objeto, clique em Substituir permissões existentes em todas as subchaves com permissões herdadas.
-
Clique em OK.
-
-
Defina os recursos de Reprodução automática (Execução automática) para desativados. Isto impede que o malware Conficker se espalhe usando os recursos de Reprodução automática internos no Windows.
Observação Existem atualizações diferentes que devem ser instaladas para desabilitar a funcionalidade do Autorun corretamente, de acordo com a versão do Windows que você estiver usando:-
Para desabilitar a funcionalidade do Autorun no Windows Vista ou no Windows Server 2008, é necessário ter a atualização de segurança 950582 instalada (descrito no boletim de segurança MS08-038).
-
Para desabilitar a funcionalidade do Autorun no Windows XP, no Windows Server 2003 ou no Windows 2000, é necessário ter a atualização de segurança 950582, a atualização 967715 ou a 953252 instaladas.
Para definir os recursos de Reprodução automática (Execução automática) para desativados, siga estas etapas:-
No mesmo GPO criado anteriormente, mova para uma das seguintes pastas:
-
Para um domínio do Windows Server 2003, mova para a seguinte pasta:
Configurações do Computador\Modelos Administrativos\Sistema
-
Para um domínio do Windows 2008, mova para a seguinte pasta:
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Diretivas da Reprodução automática
-
-
Abra a diretiva Desativar Reprodução Automática.
-
Na caixa de diálogo Desativar Reprodução Automática, clique em Habilitado.
-
No menu suspenso, clique em Todas as unidades.
-
Clique em OK.
-
-
Feche o Console de Gerenciamento de Diretivas de Grupo.
-
Vincule o GPO criado recentemente ao local que você deseja aplicá-lo.
-
Permita que as configurações de Diretiva de Grupo atualizem todos os computadores pelo tempo suficiente. Em geral, a replicação da Diretiva de Grupo leva cinco minutos em cada controlador de domínio e, em seguida, 90 minutos para se replicar no restante dos sistemas. Algumas horas devem ser suficientes. Entretanto, dependendo do ambiente, mais tempo pode ser necessário.
-
Após a propagação das configurações de Diretiva de Grupo, limpe o malware dos sistemas.
Para fazer isto, execute as seguintes etapas:-
Execute varreduras de antivírus completas em todos os computadores.
-
Se o seu software antivírus não detecta o Conficker, é possível usar o Microsoft Safety Scanner para excluir o malware. Para obter mais informações, visite a seguinte página da Microsoft: http://www.microsoft.com/security/scanner/pt-br/Observação Você pode precisar realizar algumas etapas manuais para excluir todos os efeitos do malware. Recomendamos que você revise as etapas listadas na seção "Etapas manuais para remover o vírus Win32/Conficker" deste artigo para limpar todos os efeitos do malware.
-
Recuperação
Execute o Microsoft Safety Scanner.
O Centro de Proteção Contra Malware da Microsoft atualizou o Microsoft Safety Scanner. Isso é um binário autônomo que é útil na remoção de software mal-intencionado predominante e pode ajudar a remover a família do malware Win32/Conficker.
Observação O Microsoft Safety Scanner não evita uma nova infecção pois não é um programa antivírus em tempo real.
É possível baixar o Microsoft Safety Scanner pelo seguinte site da Microsoft:
http://www.microsoft.com/security/scanner/pt-br/
Observação A ferramenta Stand-Alone System Sweeper também removerá essa infecção. Essa ferramenta está disponível como um componente do Microsoft Desktop Optimization Pack 6.0 ou por meio do Suporte e Atendimento ao Cliente. Para obter o Microsoft Desktop Optimization Pack, visite o seguinte site da Microsoft :
http://www.microsoft.com/pt-br/windows/enterprise/products-and-technologies/mdop/default.aspxSe o Microsoft Security Essentials ou o Microsoft Forefront Client Security estiver em execução no sistema, esses programas também bloqueiam a ameaça antes de ser instalada.
Etapas manuais para remover o vírus Win32/Conficker
Observações
-
Estas etapas manuais não são mais necessárias e só devem ser usadas se você não tiver um software antivírus para remover o vírus Conficker.
-
Dependendo da variante do Win32/Conficker que está infectando o computador, alguns valores mencionados nesta seção poderão não ser alterados pelo vírus.
As etapas detalhadas a seguir podem ajudar a remover o Conficker de um sistema manualmente:
-
Faça logon no sistema usando uma conta local.
Importante Se possível, não faça logon no sistema usando uma conta de Domínio. Principalmente, não faça logon usando uma conta de Administrador do Domínio. O malware representa o usuário conectado e acessa os recursos de rede usando as credenciais do mesmo. Esse comportamento permite que o malware se espalhe. -
Interrompa o serviço do servidor. Isso remove os compartilhamentos do Administrador do sistema de forma que o malware não possa se espalhar usando esse método.
Observação O serviço do servidor deve ser desabilitado apenas temporariamente enquanto você limpa o malware do seu ambiente. Isso é particularmente importante em servidores de produção porque essa etapa afetará a disponibilidade do recurso da rede. Assim que o ambiente estiver limpo, o serviço do servidor poderá ser habilitado novamente.
Para interromper o serviço do servidor, use o MMC (Console de Gerenciamento Microsoft) de Serviços. Para fazer isto, execute as seguintes etapas:-
Dependendo do seu sistema, execute os seguintes procedimentos:
-
No Windows Vista e Windows Server 2008, clique em Iniciar, digite services.msc na caixa Iniciar Pesquisa e clique em services.msc na lista Programas.
-
No Windows 2000, Windows XP e Windows Server 2003, clique em Iniciar, clique em Executar, digite services.msc e clique em OK.
-
-
Clique duas vezes em Servidor.
-
Clique em Parar.
-
Selecione Desativada na caixa Tipo de inicialização.
-
Clique em Aplicar.
-
-
Remova todas as tarefas agendadas criadas por AT. Para fazer isso, digite AT /Excluir /Sim em um prompt de comando.
-
Pare o serviço Agendador de Tarefas.
-
Para parar o serviço Agendador de Tarefas no Windows 2000, Windows XP e Windows Server 2003, use o Console de Gerenciamento Microsoft (MMC) de Serviços ou o utilitário SC.exe.
-
Para parar o serviço Agendador de Tarefas no Windows Vista ou no Windows Server 2008, siga estas etapas.
Importante Essa seção, método ou tarefa contém etapas que informam sobre como modificar o Registro. No entanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Por isso, certifique-se de que essas etapas sejam seguidas cuidadosamente. Para obter mais proteção, faça um backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter informações adicionais sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:322756Como fazer o backup e restaurar o Registro no Windows
-
Clique em Iniciar, digite regedit na caixa Iniciar Pesquisa e clique em regedit.exe na lista Programas.
-
Localize e clique na seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
-
No painel de detalhes, clique com o botão direito do mouse na entrada DWORD Iniciar e em Modificar.
-
Na caixa Dados do valor, digite 4 e clique em OK.
-
Saia do Editor do Registro e reinicie o computador.
Observação O serviço do Agendador de Tarefas deve ser desabilitado apenas temporariamente enquanto você limpa o malware do seu ambiente. Isso é particularmente importante no Windows Vista e no Windows Server 2008, pois esta etapa afetará várias Tarefas Agendadas internas. Assim que o ambiente estiver limpo, habilite o serviço do servidor novamente.
-
-
-
Baixe e instale manualmente a atualização de segurança 958644 (MS08-067). Para obter mais informações, visite o seguinte site da Microsoft :
http://www.microsoft.com/brasil/technet/security/Bulletin/MS08-067.mspxObservação Este site pode ser bloqueado devido à infecção do malware. Nesse caso, você deve baixar a atualização de um computador que não esteja infectado e depois transferir o arquivo de atualização para o sistema infectado. Recomendamos que você grave a atualização em um CD porque o CD gravado não é gravável. Portanto, ele não pode ser infectado. Se uma unidade de CD gravável não estiver disponível, uma unidade de memória USB removível pode ser a única forma de copiar a atualização para o sistema infectado. Se você usar uma unidade removível, verifique se o malware pode infectar a unidade com um arquivo Autorun.inf. Depois de copiar a atualização para a unidade removível, certifique-se de que você alterou a unidade para o modo somente leitura, se a opção estiver disponível para seu dispositivo. Se o módulo somente leitura estiver disponível, ele será habilitado geralmente usando um comutador físico no dispositivo. Em seguida, depois de copiar o arquivo de atualização para o computador infectado, verifique se um arquivo Autorun.inf foi gravado na unidade removível. Caso ele tenha sido gravado, renomeie o arquivo Autorun.inf file como algo parecido com Autorun.bad para que ele não seja executado quando a unidade removível for conectada a um computador.
-
Redefina quaisquer senhas de Administrador Local e de Domínio para usar uma nova senha forte. Para obter mais informações, visite o seguinte site da Microsoft :
-
No Editor do Registro, localize e clique na seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
-
No painel de detalhes, clique com o botão direito do mouse na entrada netsvcs e depois em Modificar.
-
Se o computador estiver infectado com o vírus Win32/Conficker, um nome de serviço aleatório será listado.
Observação Com o Win32/Conficker.B, o nome do serviço tinha letras aleatórias e ficava no final da lista. Com variantes mais recentes, o nome do serviço pode estar em qualquer posição na lista e talvez pareça mais legítimo. Se o nome aleatório do serviço não estiver no final, compare o sistema com a "tabela Serviços" no procedimento para determinar qual nome de serviço pode ter sido adicionado pelo Win32/Conficker. Para verificar, compare a lista na "tabela Serviços" com um sistema semelhante que você saiba que não está infectado.
Anote o nome do serviço de malware. Você precisará dessa informação posteriormente neste procedimento. -
Exclua a linha que contém a referência ao serviço de malware. Certifique-se de que uma alimentação de linha é deixada em branco abaixo da última entrada legítima listada e clique em OK.
Observações sobre a tabela Serviços-
Todas as entradas na tabela Serviços são válidas, exceto os itens destacados em negrito.
-
Os itens destacados em negrito são exemplos do que o vírus Win32/Conficker pode adicionar ao valor netscvcs na chave do Registro SVCHOST.
-
Esta lista de serviços pode não estar completa, dependendo do que está instalado no sistema.
-
A tabela Serviços é de uma instalação padrão do Windows.
-
A entrada adicionada à lista pelo vírus Win32/Conficker é uma técnica de ofuscamento. A entrada destacada mal-intencionada que supostamente parece a primeira letra é um "L" minúsculo. Entretanto, na verdade é um "I" maiúsculo. Por causa da fonte usada pelo sistema operacional, o "I" maiúsculo parece um "L" minúsculo.
Tabela Serviços
Windows Server 2008
Windows Vista
Windows Server 2003
Windows XP
Windows 2000
AeLookupSvc
AeLookupSvc
AppMgmt
6to4
EventSystem
wercplsupport
wercplsupport
AudioSrv
AppMgmt
Ias
Temas
Temas
Pesquisador
AudioSrv
Iprip
CertPropSvc
CertPropSvc
CryptSvc
Pesquisador
Irmon
SCPolicySvc
SCPolicySvc
DMServer
CryptSvc
Netman
lanmanserver
lanmanserver
EventSystem
DMServer
Nwsapagent
gpsvc
gpsvc
HidServ
DHCP
Rasauto
IKEEXT
IKEEXT
Ias
ERSvc
Iaslogon
AudioSrv
AudioSrv
Iprip
EventSystem
Rasman
FastUserSwitchingCompatibility
FastUserSwitchingCompatibility
Irmon
FastUserSwitchingCompatibility
Remoteaccess
Ias
Ias
LanmanServer
HidServ
SENS
Irmon
Irmon
LanmanWorkstation
Ias
Sharedaccess
Nla
Nla
Messenger
Iprip
Ntmssvc
Ntmssvc
Ntmssvc
Netman
Irmon
wzcsvc
NWCWorkstation
NWCWorkstation
Nla
LanmanServer
Nwsapagent
Nwsapagent
Ntmssvc
LanmanWorkstation
Rasauto
Rasauto
NWCWorkstation
Messenger
Rasman
Rasman
Nwsapagent
Netman
Iaslogon
Iaslogon
Iaslogon
Iaslogon
Remoteaccess
Remoteaccess
Rasauto
Nla
SENS
SENS
Rasman
Ntmssvc
Sharedaccess
Sharedaccess
Remoteaccess
NWCWorkstation
SRService
SRService
Sacsvr
Nwsapagent
Tapisrv
Tapisrv
Agenda
Rasauto
Wmi
Wmi
Seclogon
Rasman
WmdmPmSp
WmdmPmSp
SENS
Remoteaccess
TermService
TermService
Sharedaccess
Agenda
wuauserv
wuauserv
Temas
Seclogon
BITS
BITS
TrkWks
SENS
ShellHWDetection
ShellHWDetection
TrkSvr
Sharedaccess
LogonHours
LogonHours
W32Time
SRService
PCAudit
PCAudit
WZCSVC
Tapisrv
helpsvc
helpsvc
Wmi
Temas
uploadmgr
uploadmgr
WmdmPmSp
TrkWks
iphlpsvc
iphlpsvc
winmgmt
W32Time
seclogon
seclogon
wuauserv
WZCSVC
AppInfo
AppInfo
BITS
Wmi
msiscsi
msiscsi
ShellHWDetection
WmdmPmSp
MMCSS
MMCSS
uploadmgr
winmgmt
browser
ProfSvc
WmdmPmSN
TermService
winmgmt
EapHost
xmlprov
wuauserv
SessionEnv
winmgmt
AeLookupSvc
BITS
ProfSvc
schedule
helpsvc
ShellHWDetection
EapHost
SessionEnv
helpsvc
hkmsvc
browser
xmlprov
schedule
hkmsvc
wscsvc
AppMgmt
AppMgmt
WmdmPmSN
sacsvr
hkmsvc
-
-
Em um procedimento anterior, você anotou o nome do serviço de malware. Nesse exemplo, o nome da entrado do malware era "Iaslogon". Usando essa informação, siga estas etapas:
-
No Editor do Registro, localize e clique na seguinte subchave do Registro, na qual BadServiceName é o nome do serviço de malware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName Por exemplo, localize e clique na seguinte sub-chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
-
Clique com o botão direito do mouse na subchave no painel de navegação do nome do serviço de malware e clique em Permissões.
-
Na caixa de diálogo Entrada de permissões para SvcHost, clique em Avançado.
-
Na caixa de diálogo Configurações Avançadas de Segurança, marque as seguintes caixas de seleção:
Herdar do pai as entradas de permissão aplicáveis a objetos filho. Incluí-las nas entradas explicitamente definidas aqui.
Substituir as entradas de permissão em todos os objetos filho pelas entradas aplicáveis mostradas aqui.
-
-
Pressione F5 para atualizar o Editor do Registro. No painel de detalhes, é possível ver e editar o DLL de malware que carrega como "ServiceDll". Para fazer isso, execute as seguintes etapas:
-
Clique duas vezes na entrada ServiceDll.
-
Anote o caminho do DLL referenciado. Você precisará dessa informação posteriormente neste procedimento. Por exemplo, o caminho do DLL referenciado pode ser semelhante ao seguinte: %SystemRoot%\System32\doieuln.dll Renomeie a referência para que seja semelhante ao seguinte: %SystemRoot%\System32\doieuln.old
-
Clique em OK.
-
-
Remova a entrada do serviço de malware da subchave Executar no Registro.
-
No Editor do Registro, localize e clique nas seguintes subchaves do Registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run -
Nas duas subchaves, localize todas as entradas que começam com "rundll32.exe" e que referenciam o DLL de malware que carregue como "ServiceDll", identificado na etapa 12b. Exclua a entrada.
-
Saia do Editor do Registro e reinicie o computador.
-
-
Verifique a existência de arquivos Autorun.inf nas unidades do sistema. Use o Bloco de Notas para abrir cada arquivo e depois verifique se é um arquivo Autorun.inf válido. Veja a seguir, um exemplo de um típico arquivo Autorun.inf válido.
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.icoGeralmente, um Autorun.inf válido possui de 1 a 2 quilobytes (KB).
-
Exclua todos os arquivos Autorun.inf que não pareçam válidos.
-
Reinicie o computador.
-
Torne visíveis os arquivos ocultos. Para isso, digite o seguinte comando em um prompt de comando:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
-
Ative Mostrar pastas e arquivos ocultos para que o arquivo possa ser exibido. Para fazer isso, execute as seguintes etapas:
-
Na etapa 12b, você anotou o caminho do arquivo .dll referenciado para o malware. Por exemplo, você notou um caminho semelhante ao seguinte:
%systemroot%\System32\doieuln.dll No Windows Explorer, abra o diretório %systemroot%\System32 ou o diretório que contenha o malware.
-
Clique em Ferramentas e em Opções de pasta.
-
Clique na guia Modo de exibição.
-
Marque a caixa de seleção Mostrar pastas e arquivos ocultos.
-
Clique em OK.
-
-
Selecione o arquivo .dll.
-
Edite as permissões no arquivo para adicionar Controle total para todos. Para fazer isto, execute as seguintes etapas:
-
Clique com o botão direito do mouse no arquivo .dll e clique em Propriedades.
-
Clique na guia Segurança.
-
Clique em Todose marque a caixa de seleção Controle Total na coluna Permitir.
-
Clique em OK.
-
-
Exclua o arquivo .dll referenciado para o malware. Por exemplo, exclua o arquivo %systemroot%\System32\doieuln.dll.
-
Habilite os serviços BITS, Atualizações Automáticas, Relatório de Erros e Windows Defender usando o Console de Gerenciamento Microsoft (MMC) de Serviços.
-
Desative a Execução Automática para ajudar a reduzir o efeito de qualquer infecção nova. Para fazer isto, execute as seguintes etapas:
-
Dependendo do seu sistema, instale uma das seguintes atualizações:
-
Se você estiver executando o Windows 2000, Windows XP ou Windows Server 2003, instale a atualização 967715.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:967715 Como desabilitar a funcionalidade do Autorun no Windows
-
Se você estiver executando o Windows Vista ou o Windows Server 2008, instale a atualização de segurança 950582.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:950582MS08-038: Vulnerabilidade no Windows Explorer pode permitir execução remota de código
Observação A atualização 967715 e a atualização de segurança 950582 não são relacionadas a esse problema de malware. Essas atualizações devem ser instaladas para permitir a função do registro na etapa 23b.
-
-
Digite o seguinte comando em um prompt de comando:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
-
-
Se o sistema estiver executando o Windows Defender, reabilite o local de início automático do Windows Defender. Para isso, digite o seguinte comando no prompt de comando:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
-
Para Windows Vista e sistemas operacionais posteriores, o malware altera a configuração global da janela de recepção de ajuste automático do TCP para desabilitado. Para alterar essa configuração novamente, digite o seguinte comando em um prompt de comando:
netsh interface tcp set global autotuning=normal
Se, após realizar esse procedimento, o computador parecer estar infectado novamente, uma das condições a seguir pode ser verdadeira:
-
Um dos locais de início automático não foi removido. Por exemplo, ou a tarefa de AT não foi removida ou um arquivo Autorun.inf não foi removido.
-
A atualização de segurança para MS08-067 foi instalada de forma incorreta.
Esse malware pode alterar outras configurações que não são abordadas neste artigo. Visite a seguinte página do Microsoft Malware Protection Center para obter os detalhes mais recentes sobre o Win32/Conficker:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
Verifique se o sistema está limpo
Verifique se os serviços a seguir foram iniciados:
-
Atualizações Automáticas (wuauserv)
-
Serviço de Transferência Inteligente em Segundo Plano (BITS)
-
Windows Defender (windefend) (se aplicável)
-
Serviço de Relatório de Erros do Windows
Para isso, digite os seguintes comandos no prompt de comando. Pressione ENTER após cada comando.
Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc
Após cada execução de comando, você receberá uma mensagem semelhante à seguinte:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Nesse exemplo, "STATE : 4 RUNNING" indica que o serviço está em execução.
Para verificar o status da subchave do Registro SvcHost, siga estas etapas:
-
No Editor do Registro, localize e clique na seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
-
No painel de detalhes, clique duas vezes em netsvcs e revise os nomes de serviço listados. Role a tela para baixo até o final da lista. Se o computador for novamente infectado com o Conficker, será listado um nome de serviço aleatório. Por exemplo, nesse procedimento, o nome do serviço malware é "Iaslogon".
Se essas etapas não resolverem o problema, entre em contato com o seu fornecedor de software antivírus.
Para obter mais informações sobre esse problema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
49500Lista de fornecedores de software antivírusSe você não tiver um fornecedor de software antivírus ou se ele não puder ajudar, entre em contato com o Atendimento Microsoft para obter ajuda.
Depois que o ambiente estiver completamente limpo
Depois que o ambiente estiver completamente limpo, siga estas etapas:
-
Reabilite o serviço do servidor e o serviço Agendador de Tarefas.
-
Restaure as permissões padrão na chave do Registro SVCHOST e na pasta Tarefas. Isso deverá ser revertido às configurações padrão usando as configurações de Diretivas de Grupo. Se apenas uma diretiva for removida, talvez não seja possível retornar às as permissões padrão. Consulte a tabela de permissões padrão na seção "Etapas de atenuação" para obter mais informações.
-
Atualize o computador instalando as atualizações de segurança ausentes. Para fazer isso, use o Windows Update, Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (Configuration Manager 2007) ou seu produto de gerenciamento de atualizações de terceiros. Se você usar o SMS ou o Configuration Manager 2007, deve primeiro reativar o serviço do Servidor. Caso contrário, o SMS ou o Configuration Manager 2007 poderão não atualizar o sistema.
Identificando sistemas infectados
Se você tiver problemas para identificar sistemas infectados com o Conficker, os detalhes fornecidos neste blog da TechNet poderão ajudar :
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx
Tabela Permissões padrão
A tabela a seguir mostra permissões padrão para cada sistema operacional. Essas permissões estão em vigor antes de você aplicar as alterações recomendadas neste artigo. Essas permissões podem ser diferentes das permissões definidas no seu ambiente. Portanto, você deve anotar suas configurações antes de fazer qualquer alteração. Você deve fazer isso para poder restaurar as configurações depois de limpar o sistema.
Sistema operacional |
Windows Server 2008 |
Windows Vista |
Windows Server 2003 |
Windows XP |
Windows 2000 |
|||||
---|---|---|---|---|---|---|---|---|---|---|
Configuração |
Registro Svchost |
Pasta Tarefas |
Registro Svchost |
Pasta Tarefas |
Registro Svchost |
Pasta Tarefas |
Registro Svchost |
Pasta Tarefas |
Registro Svchost |
Pasta Tarefas |
Conta |
||||||||||
Administradores (Grupo local) |
Controle Total |
Controle Total |
Controle Total |
Controle Total |
Controle Total |
Controle Total |
Controle Total |
Controle Total |
Controle Total |
Controle Total |
Sistema |
Controle Total |
Controle Total |
Controle Total |
Controle Total |
Controle Total |
Controle Total |
Controle Total |
Controle Total |
Controle Total |
Controle Total |
Usuários avançados (Grupo local) |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Leitura |
Não aplicável |
Leitura |
Não aplicável |
Leitura |
Não aplicável |
Usuários (Grupo local) |
Especial |
Não aplicável |
Especial |
Não aplicável |
Leitura |
Não aplicável |
Leitura |
Não aplicável |
Leitura |
Não aplicável |
Aplicar a: Essa chave e subchaves |
Aplicar a: Essa chave e subchaves |
|||||||||
Valor de consulta |
Valor de consulta |
|||||||||
Enumerar subchaves |
Enumerar subchaves |
|||||||||
Notificar |
Notificar |
|||||||||
Controle de Leitura |
Controle de Leitura |
|||||||||
Usuários autenticados |
Não aplicável |
Especial |
Não aplicável |
Especial |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Aplicar a: Apenas esta pasta |
Aplicar a: Apenas esta pasta |
|||||||||
Desviar Pasta |
Desviar Pasta |
|||||||||
Listar Pasta |
Listar Pasta |
|||||||||
Atributos de Leitura |
Atributos de Leitura |
|||||||||
Atributos de Leitura Estendidos |
Atributos de Leitura Estendidos |
|||||||||
Criar Arquivos |
Criar Arquivos |
|||||||||
Permissões de Leitura |
Permissões de Leitura |
|||||||||
Operadores de cópia (Grupo local) |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Especial |
Não aplicável |
Especial |
||
Aplicar a: Apenas esta pasta |
Aplicar a: Apenas esta pasta |
|||||||||
Desviar Pasta |
Desviar Pasta |
|||||||||
Listar Pasta |
Listar Pasta |
|||||||||
Atributos de Leitura |
Atributos de Leitura |
|||||||||
Atributos de Leitura Estendidos |
Atributos de Leitura Estendidos |
|||||||||
Criar Arquivos |
Criar Arquivos |
|||||||||
Permissões de Leitura |
Permissões de Leitura |
|||||||||
Todos |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Especial |
Aplicar a: Esta pasta, subpastas e arquivos |
||||||||||
Desviar Pasta |
||||||||||
Listar Pasta |
||||||||||
Atributos de Leitura |
||||||||||
Atributos de Leitura Estendidos |
||||||||||
Criar Arquivos |
||||||||||
Criar pastas |
||||||||||
Atributos de Gravação |
||||||||||
Atributos de Gravação Estendidos |
||||||||||
Permissões de Leitura |
Ajuda adicional
Para obter mais ajuda com este problema, se você estiver nos Estados Unidos, é possível realizar um chat com uma pessoa ao vivo no Answer Desk: