Alerta de vírus sobre o worm Win32/Conficker

O suporte para Windows Vista Service Pack 1 (SP1) termina em 12 de julho de 2011. Para continuar recebendo atualizações de segurança do Windows, certifique-se de estar executando o Windows Vista com Service Pack 2 (SP2). Para obter mais informações, consulte esta página da Microsoft: O suporte está terminando para algumas versões do Windows.

Resumo

As informações neste artigo da Base de Dados de Conhecimentos se destinam a ambientes corporativos com administradores de sistema que possam implementar os detalhes nele contidos. Não há por que usar este artigo se o programa antivírus limpar o vírus corretamente e seus sistemas estiverem totalmente atualizados. Para confirmar se o vírus Conficker foi limpo do sistema, execute uma verificação rápida nesta página da Web : http://www.microsoft.com/security/scanner/pt-br/



Para obter informações detalhadas sobre o vírus Conficker, visite a seguinte página da Web da Microsoft :

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Sintomas de infecção

Se seu computador estiver infectado com esse worm, você pode não apresentar alguns sintomas ou pode ter quaisquer dos sintomas a seguir:

  • As diretivas de bloqueio de conta estão sendo ultrapassadas.

  • Atualizações Automáticas, Serviço de Transferência Inteligente em Segundo Plano (BITS), Windows Defender e Error Reporting Services estão desabilitados.

  • Os controladores de domínio respondem lentamente a solicitações de cliente.

  • A rede está congestionada.

  • Vários sites relacionados à segurança não podem ser acessados.

  • Várias ferramentas relacionadas à segurança não serão executadas. Para obter uma lista de ferramentas conhecidas, visite a página da Web da Microsoft a seguir e clique na guia Analysis, onde há informações sobre o Win32/Conficker.D. Para obter mais informações, visite esta página da Web da Microsoft:

    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D

Para obter mais informações sobre Win32/Conficker, visite a página a seguir do Microsoft Malware Protection Center:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Métodos de propagação

O Win32/Conficker tem vários métodos de propagação. Isso inclui os seguintes:

  • Exploração da vulnerabilidade corrigida pela atualização de segurança 958644 (MS08-067)

  • O uso de compartilhamentos de rede

  • O uso da funcionalidade Reprodução Automática

Portanto, você deve ter cuidado ao limpar uma rede de modo que a ameaça não seja reintroduzida nos sistemas que foram limpos anteriormente.


Observação A variante Win32/Conficker.D não se espalha para unidades removíveis nem pastas compartilhadas em uma rede. O Win32/Conficker.D é instalado por variantes anteriores do Win32/Conficker.

Prevenção

  • Use senhas de administrador fortes que sejam exclusivas para todos os computadores.

  • Não faça logon em computadores usando credenciais de Administrador de Domínio nem credenciais que tenham acesso a todos os computadores.

  • Verifique se as atualizações de segurança mais recentes foram aplicadas a todos os sistemas.

  • Desative o recurso de Reprodução Automática. Para obter mais informações, consulte a etapa 3 da seção "Criar um objeto de Diretiva de Grupo".

  • Remova direitos excessivos de compartilhamentos. Isso inclui remover permissões de gravação na raiz de todos os compartilhamentos.

Etapas de atenuação

Interromper o Win32/Conficker de divulgar usando as configurações da Política de Grupo

Observações

  • Importante Não deixe de documentar todas as atuais configurações antes de fazer qualquer alteração sugerida neste artigo.

  • Este procedimento não remove o malware Conficker do sistema. Ele somente interrompe a expansão do malware. Será necessário usar um produto antivírus para remover o malware Conficker do sistema. Ou então siga as etapas na seção "Etapas manuais para remover a variante Conficker.b" deste artigo da Base de Dados de Conhecimento para remover o malware do sistema manualmente.






  • Talvez você não consiga instalar corretamente aplicativos, service packs ou outras atualizações enquanto vigorarem as alterações de permissão recomendadas nas etapas a seguir. Isto inclui, mas não está limitado a, aplicar atualizações usando o Windows Update, Microsoft Windows Server Update Services (WSUS) e System Center Configuration Manager (Configuration Manager 2007), pois estes produtos dependem de componentes das Atualizações Automáticas. Não deixe de alterar as permissões de volta às configurações padrão depois de limpar o sistema.

  • Para obter mais informações sobre permissões padrão da chave do Registro SVCHOST e da Pasta Tarefas mencionadas na seção "Criar um objeto de Diretiva de Grupo", consulte a tabela Permissões padrão no final deste artigo.

Criar um objeto de Diretiva de Grupo

Crie um novo objeto de Diretiva de Grupo (GPO) que se aplique a todos os computadores em uma unidade organizacional (OU) específica, em um site ou domínio, conforme necessário em seu ambiente.

Para fazer isto, execute as seguintes etapas:

  1. Defina a diretiva para remover as permissões de gravação para a seguinte subchave do Registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost Isto evita que o serviço de malware nomeado aleatoriamente seja criado no valor de Registro netsvcs.

    Para fazer isto, execute as seguintes etapas:

    1. Abra o Console de Gerenciamento de Diretiva de Grupo (GPMC).

    2. Crie um novo GPO. Atribua o nome desejado ao objeto.

    3. Abra o novo GPO e mova-o para a seguinte pasta:

      Configurações do Computador\Configurações do Windows\Configurações de Segurança\Registro

    4. Clique com o botão direito do mouse em Registro e clique em Adicionar Chave.

    5. Na caixa de diálogo Selecionar Chave do Registro, expanda Máquina e, em seguida, mova-os para a seguinte pasta:

      Software\Microsoft\Windows NT\CurrentVersion\Svchost

    6. Clique em OK.

    7. Na caixa de diálogo que abrir, clique para limpar a caixa de seleção Controle Total de Administradores e Sistema.

    8. Clique em OK.

    9. Na caixa de diálogo Adicionar Objeto, clique em Substituir permissões existentes em todas as subchaves com permissões herdadas.

    10. Clique em OK.

  2. Defina a diretiva para remover as permissões de gravação para a pasta %windir%\tasks: Isto impede que o malware Conficker crie Tarefas agendadas que possam infectar o sistema novamente.

    Para fazer isto, execute as seguintes etapas:

    1. No mesmo GPO criado anteriormente, mova para a seguinte pasta:

      Configurações do Computador\Configurações do Windows\Configurações de Segurança\Sistema de Arquivos

    2. Clique com o botão direito do mouse em Sistema de Arquivos e clique em Adicionar Arquivo.

    3. Na caixa de diálogo Adicionar um arquivo ou pasta, vá até a pasta %windir%\Tasks. Verifique se o item Tarefas está realçado e listado na caixa de diálogo Pasta.

    4. Clique em OK.

    5. Na caixa de diálogo que é aberta, desmarque as caixas de seleção Controle total, Modificar e Gravar para Administradores e Sistema.

    6. Clique em OK.

    7. Na caixa de diálogo Adicionar objeto, clique em Substituir permissões existentes em todas as subchaves com permissões herdadas.

    8. Clique em OK.

  3. Defina os recursos de Reprodução automática (Execução automática) para desativados. Isto impede que o malware Conficker se espalhe usando os recursos de Reprodução automática internos no Windows.


    Observação Existem atualizações diferentes que devem ser instaladas para desabilitar a funcionalidade do Autorun corretamente, de acordo com a versão do Windows que você estiver usando:

    • Para desabilitar a funcionalidade do Autorun no Windows Vista ou no Windows Server 2008, é necessário ter a atualização de segurança 950582 instalada (descrito no boletim de segurança MS08-038).

    • Para desabilitar a funcionalidade do Autorun no Windows XP, no Windows Server 2003 ou no Windows 2000, é necessário ter a atualização de segurança 950582, a atualização 967715 ou a 953252 instaladas.



    Para definir os recursos de Reprodução automática (Execução automática) para desativados, siga estas etapas:

    1. No mesmo GPO criado anteriormente, mova para uma das seguintes pastas:

      • Para um domínio do Windows Server 2003, mova para a seguinte pasta:

        Configurações do Computador\Modelos Administrativos\Sistema

      • Para um domínio do Windows 2008, mova para a seguinte pasta:

        Configuração do Computador\Modelos Administrativos\Componentes do Windows\Diretivas da Reprodução automática

    2. Abra a diretiva Desativar Reprodução Automática.

    3. Na caixa de diálogo Desativar Reprodução Automática, clique em Habilitado.

    4. No menu suspenso, clique em Todas as unidades.

    5. Clique em OK.

  4. Feche o Console de Gerenciamento de Diretivas de Grupo.

  5. Vincule o GPO criado recentemente ao local que você deseja aplicá-lo.

  6. Permita que as configurações de Diretiva de Grupo atualizem todos os computadores pelo tempo suficiente. Em geral, a replicação da Diretiva de Grupo leva cinco minutos em cada controlador de domínio e, em seguida, 90 minutos para se replicar no restante dos sistemas. Algumas horas devem ser suficientes. Entretanto, dependendo do ambiente, mais tempo pode ser necessário.

  7. Após a propagação das configurações de Diretiva de Grupo, limpe o malware dos sistemas.

    Para fazer isto, execute as seguintes etapas:

    1. Execute varreduras de antivírus completas em todos os computadores.

    2. Se o seu software antivírus não detecta o Conficker, é possível usar o Microsoft Safety Scanner para excluir o malware. Para obter mais informações, visite a seguinte página da Microsoft: http://www.microsoft.com/security/scanner/pt-br/Observação Você pode precisar realizar algumas etapas manuais para excluir todos os efeitos do malware. Recomendamos que você revise as etapas listadas na seção "Etapas manuais para remover o vírus Win32/Conficker" deste artigo para limpar todos os efeitos do malware.

Recuperação

Execute o Microsoft Safety Scanner.

O Centro de Proteção Contra Malware da Microsoft atualizou o Microsoft Safety Scanner. Isso é um binário autônomo que é útil na remoção de software mal-intencionado predominante e pode ajudar a remover a família do malware Win32/Conficker.

Observação O Microsoft Safety Scanner não evita uma nova infecção pois não é um programa antivírus em tempo real.

É possível baixar o Microsoft Safety Scanner pelo seguinte site da Microsoft:

http://www.microsoft.com/security/scanner/pt-br/
Observação A ferramenta Stand-Alone System Sweeper também removerá essa infecção. Essa ferramenta está disponível como um componente do Microsoft Desktop Optimization Pack 6.0 ou por meio do Suporte e Atendimento ao Cliente. Para obter o Microsoft Desktop Optimization Pack, visite o seguinte site da Microsoft :

http://www.microsoft.com/pt-br/windows/enterprise/products-and-technologies/mdop/default.aspxSe o Microsoft Security Essentials ou o Microsoft Forefront Client Security estiver em execução no sistema, esses programas também bloqueiam a ameaça antes de ser instalada.

Etapas manuais para remover o vírus Win32/Conficker

Observações

  • Estas etapas manuais não são mais necessárias e só devem ser usadas se você não tiver um software antivírus para remover o vírus Conficker.

  • Dependendo da variante do Win32/Conficker que está infectando o computador, alguns valores mencionados nesta seção poderão não ser alterados pelo vírus.




As etapas detalhadas a seguir podem ajudar a remover o Conficker de um sistema manualmente:

  1. Faça logon no sistema usando uma conta local.


    Importante Se possível, não faça logon no sistema usando uma conta de Domínio. Principalmente, não faça logon usando uma conta de Administrador do Domínio. O malware representa o usuário conectado e acessa os recursos de rede usando as credenciais do mesmo. Esse comportamento permite que o malware se espalhe.

  2. Interrompa o serviço do servidor. Isso remove os compartilhamentos do Administrador do sistema de forma que o malware não possa se espalhar usando esse método.


    Observação O serviço do servidor deve ser desabilitado apenas temporariamente enquanto você limpa o malware do seu ambiente. Isso é particularmente importante em servidores de produção porque essa etapa afetará a disponibilidade do recurso da rede. Assim que o ambiente estiver limpo, o serviço do servidor poderá ser habilitado novamente.


    Para interromper o serviço do servidor, use o MMC (Console de Gerenciamento Microsoft) de Serviços. Para fazer isto, execute as seguintes etapas:

    1. Dependendo do seu sistema, execute os seguintes procedimentos:

      • No Windows Vista e Windows Server 2008, clique em Iniciar, digite services.msc na caixa Iniciar Pesquisa e clique em services.msc na lista Programas.

      • No Windows 2000, Windows XP e Windows Server 2003, clique em Iniciar, clique em Executar, digite services.msc e clique em OK.

    2. Clique duas vezes em Servidor.

    3. Clique em Parar.

    4. Selecione Desativada na caixa Tipo de inicialização.

    5. Clique em Aplicar.

  3. Remova todas as tarefas agendadas criadas por AT. Para fazer isso, digite AT /Excluir /Sim em um prompt de comando.

  4. Pare o serviço Agendador de Tarefas.

    • Para parar o serviço Agendador de Tarefas no Windows 2000, Windows XP e Windows Server 2003, use o Console de Gerenciamento Microsoft (MMC) de Serviços ou o utilitário SC.exe.

    • Para parar o serviço Agendador de Tarefas no Windows Vista ou no Windows Server 2008, siga estas etapas.

      Importante Essa seção, método ou tarefa contém etapas que informam sobre como modificar o Registro. No entanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Por isso, certifique-se de que essas etapas sejam seguidas cuidadosamente. Para obter mais proteção, faça um backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter informações adicionais sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

      322756Como fazer o backup e restaurar o Registro no Windows

      1. Clique em Iniciar, digite regedit na caixa Iniciar Pesquisa e clique em regedit.exe na lista Programas.

      2. Localize e clique na seguinte subchave do Registro:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

      3. No painel de detalhes, clique com o botão direito do mouse na entrada DWORD Iniciar e em Modificar.

      4. Na caixa Dados do valor, digite 4 e clique em OK.

      5. Saia do Editor do Registro e reinicie o computador.



        Observação O serviço do Agendador de Tarefas deve ser desabilitado apenas temporariamente enquanto você limpa o malware do seu ambiente. Isso é particularmente importante no Windows Vista e no Windows Server 2008, pois esta etapa afetará várias Tarefas Agendadas internas. Assim que o ambiente estiver limpo, habilite o serviço do servidor novamente.

  5. Baixe e instale manualmente a atualização de segurança 958644 (MS08-067). Para obter mais informações, visite o seguinte site da Microsoft :

    http://www.microsoft.com/brasil/technet/security/Bulletin/MS08-067.mspxObservação Este site pode ser bloqueado devido à infecção do malware. Nesse caso, você deve baixar a atualização de um computador que não esteja infectado e depois transferir o arquivo de atualização para o sistema infectado. Recomendamos que você grave a atualização em um CD porque o CD gravado não é gravável. Portanto, ele não pode ser infectado. Se uma unidade de CD gravável não estiver disponível, uma unidade de memória USB removível pode ser a única forma de copiar a atualização para o sistema infectado. Se você usar uma unidade removível, verifique se o malware pode infectar a unidade com um arquivo Autorun.inf. Depois de copiar a atualização para a unidade removível, certifique-se de que você alterou a unidade para o modo somente leitura, se a opção estiver disponível para seu dispositivo. Se o módulo somente leitura estiver disponível, ele será habilitado geralmente usando um comutador físico no dispositivo. Em seguida, depois de copiar o arquivo de atualização para o computador infectado, verifique se um arquivo Autorun.inf foi gravado na unidade removível. Caso ele tenha sido gravado, renomeie o arquivo Autorun.inf file como algo parecido com Autorun.bad para que ele não seja executado quando a unidade removível for conectada a um computador.

  6. Redefina quaisquer senhas de Administrador Local e de Domínio para usar uma nova senha forte. Para obter mais informações, visite o seguinte site da Microsoft :

    http://technet.microsoft.com/pt-br/library/cc875814.aspx

  7. No Editor do Registro, localize e clique na seguinte subchave do Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

  8. No painel de detalhes, clique com o botão direito do mouse na entrada netsvcs e depois em Modificar.

  9. Se o computador estiver infectado com o vírus Win32/Conficker, um nome de serviço aleatório será listado.


    Observação Com o Win32/Conficker.B, o nome do serviço tinha letras aleatórias e ficava no final da lista. Com variantes mais recentes, o nome do serviço pode estar em qualquer posição na lista e talvez pareça mais legítimo. Se o nome aleatório do serviço não estiver no final, compare o sistema com a "tabela Serviços" no procedimento para determinar qual nome de serviço pode ter sido adicionado pelo Win32/Conficker. Para verificar, compare a lista na "tabela Serviços" com um sistema semelhante que você saiba que não está infectado.


    Anote o nome do serviço de malware. Você precisará dessa informação posteriormente neste procedimento.

  10. Exclua a linha que contém a referência ao serviço de malware. Certifique-se de que uma alimentação de linha é deixada em branco abaixo da última entrada legítima listada e clique em OK.



    Observações sobre a tabela Serviços

    • Todas as entradas na tabela Serviços são válidas, exceto os itens destacados em negrito.

    • Os itens destacados em negrito são exemplos do que o vírus Win32/Conficker pode adicionar ao valor netscvcs na chave do Registro SVCHOST.

    • Esta lista de serviços pode não estar completa, dependendo do que está instalado no sistema.

    • A tabela Serviços é de uma instalação padrão do Windows.

    • A entrada adicionada à lista pelo vírus Win32/Conficker é uma técnica de ofuscamento. A entrada destacada mal-intencionada que supostamente parece a primeira letra é um "L" minúsculo. Entretanto, na verdade é um "I" maiúsculo. Por causa da fonte usada pelo sistema operacional, o "I" maiúsculo parece um "L" minúsculo.

    Tabela Serviços

    Windows Server 2008

    Windows Vista

    Windows Server 2003

    Windows XP

    Windows 2000

    AeLookupSvc

    AeLookupSvc

    AppMgmt

    6to4

    EventSystem

    wercplsupport

    wercplsupport

    AudioSrv

    AppMgmt

    Ias

    Temas

    Temas

    Pesquisador

    AudioSrv

    Iprip

    CertPropSvc

    CertPropSvc

    CryptSvc

    Pesquisador

    Irmon

    SCPolicySvc

    SCPolicySvc

    DMServer

    CryptSvc

    Netman

    lanmanserver

    lanmanserver

    EventSystem

    DMServer

    Nwsapagent

    gpsvc

    gpsvc

    HidServ

    DHCP

    Rasauto

    IKEEXT

    IKEEXT

    Ias

    ERSvc

    Iaslogon

    AudioSrv

    AudioSrv

    Iprip

    EventSystem

    Rasman

    FastUserSwitchingCompatibility

    FastUserSwitchingCompatibility

    Irmon

    FastUserSwitchingCompatibility

    Remoteaccess

    Ias

    Ias

    LanmanServer

    HidServ

    SENS

    Irmon

    Irmon

    LanmanWorkstation

    Ias

    Sharedaccess

    Nla

    Nla

    Messenger

    Iprip

    Ntmssvc

    Ntmssvc

    Ntmssvc

    Netman

    Irmon

    wzcsvc

    NWCWorkstation

    NWCWorkstation

    Nla

    LanmanServer

    Nwsapagent

    Nwsapagent

    Ntmssvc

    LanmanWorkstation

    Rasauto

    Rasauto

    NWCWorkstation

    Messenger

    Rasman

    Rasman

    Nwsapagent

    Netman

    Iaslogon

    Iaslogon

    Iaslogon

    Iaslogon

    Remoteaccess

    Remoteaccess

    Rasauto

    Nla

    SENS

    SENS

    Rasman

    Ntmssvc

    Sharedaccess

    Sharedaccess

    Remoteaccess

    NWCWorkstation

    SRService

    SRService

    Sacsvr

    Nwsapagent

    Tapisrv

    Tapisrv

    Agenda

    Rasauto

    Wmi

    Wmi

    Seclogon

    Rasman

    WmdmPmSp

    WmdmPmSp

    SENS

    Remoteaccess

    TermService

    TermService

    Sharedaccess

    Agenda

    wuauserv

    wuauserv

    Temas

    Seclogon

    BITS

    BITS

    TrkWks

    SENS

    ShellHWDetection

    ShellHWDetection

    TrkSvr

    Sharedaccess

    LogonHours

    LogonHours

    W32Time

    SRService

    PCAudit

    PCAudit

    WZCSVC

    Tapisrv

    helpsvc

    helpsvc

    Wmi

    Temas

    uploadmgr

    uploadmgr

    WmdmPmSp

    TrkWks

    iphlpsvc

    iphlpsvc

    winmgmt

    W32Time

    seclogon

    seclogon

    wuauserv

    WZCSVC

    AppInfo

    AppInfo

    BITS

    Wmi

    msiscsi

    msiscsi

    ShellHWDetection

    WmdmPmSp

    MMCSS

    MMCSS

    uploadmgr

    winmgmt

    browser

    ProfSvc

    WmdmPmSN

    TermService

    winmgmt

    EapHost

    xmlprov

    wuauserv

    SessionEnv

    winmgmt

    AeLookupSvc

    BITS

    ProfSvc

    schedule

    helpsvc

    ShellHWDetection

    EapHost

    SessionEnv

    helpsvc

    hkmsvc

    browser

    xmlprov

    schedule

    hkmsvc

    wscsvc

    AppMgmt

    AppMgmt

    WmdmPmSN

    sacsvr

    hkmsvc

  11. Em um procedimento anterior, você anotou o nome do serviço de malware. Nesse exemplo, o nome da entrado do malware era "Iaslogon". Usando essa informação, siga estas etapas:

    1. No Editor do Registro, localize e clique na seguinte subchave do Registro, na qual BadServiceName é o nome do serviço de malware:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName Por exemplo, localize e clique na seguinte sub-chave do Registro:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon

    2. Clique com o botão direito do mouse na subchave no painel de navegação do nome do serviço de malware e clique em Permissões.

    3. Na caixa de diálogo Entrada de permissões para SvcHost, clique em Avançado.

    4. Na caixa de diálogo Configurações Avançadas de Segurança, marque as seguintes caixas de seleção:

      Herdar do pai as entradas de permissão aplicáveis a objetos filho. Incluí-las nas entradas explicitamente definidas aqui.

      Substituir as entradas de permissão em todos os objetos filho pelas entradas aplicáveis mostradas aqui.

  12. Pressione F5 para atualizar o Editor do Registro. No painel de detalhes, é possível ver e editar o DLL de malware que carrega como "ServiceDll". Para fazer isso, execute as seguintes etapas:

    1. Clique duas vezes na entrada ServiceDll.

    2. Anote o caminho do DLL referenciado. Você precisará dessa informação posteriormente neste procedimento. Por exemplo, o caminho do DLL referenciado pode ser semelhante ao seguinte: %SystemRoot%\System32\doieuln.dll Renomeie a referência para que seja semelhante ao seguinte: %SystemRoot%\System32\doieuln.old

    3. Clique em OK.

  13. Remova a entrada do serviço de malware da subchave Executar no Registro.

    1. No Editor do Registro, localize e clique nas seguintes subchaves do Registro:

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    2. Nas duas subchaves, localize todas as entradas que começam com "rundll32.exe" e que referenciam o DLL de malware que carregue como "ServiceDll", identificado na etapa 12b. Exclua a entrada.

    3. Saia do Editor do Registro e reinicie o computador.

  14. Verifique a existência de arquivos Autorun.inf nas unidades do sistema. Use o Bloco de Notas para abrir cada arquivo e depois verifique se é um arquivo Autorun.inf válido. Veja a seguir, um exemplo de um típico arquivo Autorun.inf válido.

    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico

    Geralmente, um Autorun.inf válido possui de 1 a 2 quilobytes (KB).

  15. Exclua todos os arquivos Autorun.inf que não pareçam válidos.

  16. Reinicie o computador.

  17. Torne visíveis os arquivos ocultos. Para isso, digite o seguinte comando em um prompt de comando:

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f

  18. Ative Mostrar pastas e arquivos ocultos para que o arquivo possa ser exibido. Para fazer isso, execute as seguintes etapas:

    1. Na etapa 12b, você anotou o caminho do arquivo .dll referenciado para o malware. Por exemplo, você notou um caminho semelhante ao seguinte:

      %systemroot%\System32\doieuln.dll No Windows Explorer, abra o diretório %systemroot%\System32 ou o diretório que contenha o malware.

    2. Clique em Ferramentas e em Opções de pasta.

    3. Clique na guia Modo de exibição.

    4. Marque a caixa de seleção Mostrar pastas e arquivos ocultos.

    5. Clique em OK.

  19. Selecione o arquivo .dll.

  20. Edite as permissões no arquivo para adicionar Controle total para todos. Para fazer isto, execute as seguintes etapas:

    1. Clique com o botão direito do mouse no arquivo .dll e clique em Propriedades.

    2. Clique na guia Segurança.

    3. Clique em Todose marque a caixa de seleção Controle Total na coluna Permitir.

    4. Clique em OK.

  21. Exclua o arquivo .dll referenciado para o malware. Por exemplo, exclua o arquivo %systemroot%\System32\doieuln.dll.

  22. Habilite os serviços BITS, Atualizações Automáticas, Relatório de Erros e Windows Defender usando o Console de Gerenciamento Microsoft (MMC) de Serviços.

  23. Desative a Execução Automática para ajudar a reduzir o efeito de qualquer infecção nova. Para fazer isto, execute as seguintes etapas:

    1. Dependendo do seu sistema, instale uma das seguintes atualizações:

      • Se você estiver executando o Windows 2000, Windows XP ou Windows Server 2003, instale a atualização 967715.
        Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

        967715 Como desabilitar a funcionalidade do Autorun no Windows

      • Se você estiver executando o Windows Vista ou o Windows Server 2008, instale a atualização de segurança 950582.
        Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

        950582MS08-038: Vulnerabilidade no Windows Explorer pode permitir execução remota de código

      Observação A atualização 967715 e a atualização de segurança 950582 não são relacionadas a esse problema de malware. Essas atualizações devem ser instaladas para permitir a função do registro na etapa 23b.

    2. Digite o seguinte comando em um prompt de comando:

      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

  24. Se o sistema estiver executando o Windows Defender, reabilite o local de início automático do Windows Defender. Para isso, digite o seguinte comando no prompt de comando:

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f

  25. Para Windows Vista e sistemas operacionais posteriores, o malware altera a configuração global da janela de recepção de ajuste automático do TCP para desabilitado. Para alterar essa configuração novamente, digite o seguinte comando em um prompt de comando:

    netsh interface tcp set global autotuning=normal

Se, após realizar esse procedimento, o computador parecer estar infectado novamente, uma das condições a seguir pode ser verdadeira:

  • Um dos locais de início automático não foi removido. Por exemplo, ou a tarefa de AT não foi removida ou um arquivo Autorun.inf não foi removido.

  • A atualização de segurança para MS08-067 foi instalada de forma incorreta.

Esse malware pode alterar outras configurações que não são abordadas neste artigo. Visite a seguinte página do Microsoft Malware Protection Center para obter os detalhes mais recentes sobre o Win32/Conficker:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Verifique se o sistema está limpo

Verifique se os serviços a seguir foram iniciados:

  • Atualizações Automáticas (wuauserv)

  • Serviço de Transferência Inteligente em Segundo Plano (BITS)

  • Windows Defender (windefend) (se aplicável)

  • Serviço de Relatório de Erros do Windows

Para isso, digite os seguintes comandos no prompt de comando. Pressione ENTER após cada comando.

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Após cada execução de comando, você receberá uma mensagem semelhante à seguinte:

SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Nesse exemplo, "STATE : 4 RUNNING" indica que o serviço está em execução.

Para verificar o status da subchave do Registro SvcHost, siga estas etapas:

  1. No Editor do Registro, localize e clique na seguinte subchave do Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

  2. No painel de detalhes, clique duas vezes em netsvcs e revise os nomes de serviço listados. Role a tela para baixo até o final da lista. Se o computador for novamente infectado com o Conficker, será listado um nome de serviço aleatório. Por exemplo, nesse procedimento, o nome do serviço malware é "Iaslogon".

Se essas etapas não resolverem o problema, entre em contato com o seu fornecedor de software antivírus.
Para obter mais informações sobre esse problema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

49500Lista de fornecedores de software antivírusSe você não tiver um fornecedor de software antivírus ou se ele não puder ajudar, entre em contato com o Atendimento Microsoft para obter ajuda.

Depois que o ambiente estiver completamente limpo

Depois que o ambiente estiver completamente limpo, siga estas etapas:

  1. Reabilite o serviço do servidor e o serviço Agendador de Tarefas.

  2. Restaure as permissões padrão na chave do Registro SVCHOST e na pasta Tarefas. Isso deverá ser revertido às configurações padrão usando as configurações de Diretivas de Grupo. Se apenas uma diretiva for removida, talvez não seja possível retornar às as permissões padrão. Consulte a tabela de permissões padrão na seção "Etapas de atenuação" para obter mais informações.

  3. Atualize o computador instalando as atualizações de segurança ausentes. Para fazer isso, use o Windows Update, Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (Configuration Manager 2007) ou seu produto de gerenciamento de atualizações de terceiros. Se você usar o SMS ou o Configuration Manager 2007, deve primeiro reativar o serviço do Servidor. Caso contrário, o SMS ou o Configuration Manager 2007 poderão não atualizar o sistema.

Identificando sistemas infectados

Se você tiver problemas para identificar sistemas infectados com o Conficker, os detalhes fornecidos neste blog da TechNet poderão ajudar :


http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Tabela Permissões padrão


A tabela a seguir mostra permissões padrão para cada sistema operacional. Essas permissões estão em vigor antes de você aplicar as alterações recomendadas neste artigo. Essas permissões podem ser diferentes das permissões definidas no seu ambiente. Portanto, você deve anotar suas configurações antes de fazer qualquer alteração. Você deve fazer isso para poder restaurar as configurações depois de limpar o sistema.

Sistema operacional

Windows Server 2008

Windows Vista

Windows Server 2003

Windows XP

Windows 2000

Configuração

Registro Svchost

Pasta Tarefas

Registro Svchost

Pasta Tarefas

Registro Svchost

Pasta Tarefas

Registro Svchost

Pasta Tarefas

Registro Svchost

Pasta Tarefas

Conta

Administradores (Grupo local)

Controle Total

Controle Total

Controle Total

Controle Total

Controle Total

Controle Total

Controle Total

Controle Total

Controle Total

Controle Total

Sistema

Controle Total

Controle Total

Controle Total

Controle Total

Controle Total

Controle Total

Controle Total

Controle Total

Controle Total

Controle Total

Usuários avançados (Grupo local)

Não aplicável

Não aplicável

Não aplicável

Não aplicável

Leitura

Não aplicável

Leitura

Não aplicável

Leitura

Não aplicável

Usuários (Grupo local)

Especial

Não aplicável

Especial

Não aplicável

Leitura

Não aplicável

Leitura

Não aplicável

Leitura

Não aplicável

Aplicar a: Essa chave e subchaves

Aplicar a: Essa chave e subchaves

Valor de consulta

Valor de consulta

Enumerar subchaves

Enumerar subchaves

Notificar

Notificar

Controle de Leitura

Controle de Leitura

Usuários autenticados

Não aplicável

Especial

Não aplicável

Especial

Não aplicável

Não aplicável

Não aplicável

Não aplicável

Não aplicável

Não aplicável

Aplicar a: Apenas esta pasta

Aplicar a: Apenas esta pasta

Desviar Pasta

Desviar Pasta

Listar Pasta

Listar Pasta

Atributos de Leitura

Atributos de Leitura

Atributos de Leitura Estendidos

Atributos de Leitura Estendidos

Criar Arquivos

Criar Arquivos

Permissões de Leitura

Permissões de Leitura

Operadores de cópia (Grupo local)

Não aplicável

Não aplicável

Não aplicável

Não aplicável

Não aplicável

Especial

Não aplicável

Especial

Aplicar a: Apenas esta pasta

Aplicar a: Apenas esta pasta

Desviar Pasta

Desviar Pasta

Listar Pasta

Listar Pasta

Atributos de Leitura

Atributos de Leitura

Atributos de Leitura Estendidos

Atributos de Leitura Estendidos

Criar Arquivos

Criar Arquivos

Permissões de Leitura

Permissões de Leitura

Todos

Não aplicável

Não aplicável

Não aplicável

Não aplicável

Não aplicável

Não aplicável

Não aplicável

Não aplicável

Não aplicável

Especial

Aplicar a: Esta pasta, subpastas e arquivos

Desviar Pasta

Listar Pasta

Atributos de Leitura

Atributos de Leitura Estendidos

Criar Arquivos

Criar pastas

Atributos de Gravação

Atributos de Gravação Estendidos

Permissões de Leitura

Ajuda adicional

Para obter mais ajuda com este problema, se você estiver nos Estados Unidos, é possível realizar um chat com uma pessoa ao vivo no Answer Desk:

Answer Desk

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade da tradução?

O que afetou sua experiência?

Algum comentário adicional? (Opcional)

Obrigado por seus comentários!

×