O vírus Kido, que já infectou mais de 9 milhões de PCs, revelou-se mais perigoso do que parecia inicialmente.A F-Secure - que descobriu o novo tipo de vírus que se espalha em computadores com Windows ligados numa mesma rede ou por pen drives - apontou que novas investigações revelam que ele já age furtando dados dos usuários.
O temor dos especialistas é que crackers consigam furtar números de cartões de crédito e contas bancárias com o verme.
A companhia de segurança Kaspersky classificou a capacidade de se replicar do vírus como “meteórica”. O código malicioso, uma vez baixado para uma máquina, permite a crackers usar o PC como um robô e disparar spam com o vírus para outros computadores.
A informação que não era conhecida originalmente é que o vírus também permite que crackers varram os PCs infectados para copiar dados armazenados, o que abre o risco de furto de dados financeiros. O malware atinge usuários de qualquer versão do Windows.
O código malicioso não é novo e foi descoberto por empresas de segurança ainda em outubro de 2008. A nova versão, no entanto, é mais engenhosa e dribla os cuidados de segurança desenvolvidos para anular a primeira versão.
A Microsoft já reagiu à descoberta e colocou um pacote de correção disponível em seu site. O pacote é baixado automaticamente quando o usuário conecta seu PC com Windows à internet.Ao menos tudo o que conseguimos descobrir até agora. Creio que são os métodos mais efetivos para a remoção do vírus downad (downadup, conficker, kido).
Em primeiro lugar vou ser sincero. Não vai ser fácil remover o danado.
Cuidado, ao se logar em uma rede em um micro infectado com uma senha de administrador de rede ele pode usar os seus privilégios para atacar outras máquinas. Se logue como um usuário sem privilégios, depois execute um cmd como administrador (botão da direita / executar como…)
Aparentemente ele só ataca máquinas com Windows 2000 ou superior. Não ouvi ninguém reclamando de Windows 9x ou NT.
O recurso que mais me preocupa é que ele pode se atualizar através da internet. Enquanto os micros de sua rede não estiverem limpos a atualizados deixe-os sem conexão com a internet (gateways e proxies).
Sintomas:
Muitas portas 445 abertas (Mais de 100). Use o comando netstat -an para verificar. É deste jeito que ele executa os ataques Deny of Service (DOS).
Windows update para de funcionar.
Bloqueio ao acesso a sites de anti-vírus.
Em empresas com servidores de domínio estes servidores começam a apresentar alto uso de CPU e até travar. Os micros começam a ter dificuldade de se logar e as senhas dos usuários começam a bloquear. Acesse o event viewer no item segurança (Security) e procure pelos bloqueios de chave em grande quantidade, isso o ajudará a identificar máquinas infectadas.
Seu anti-vírus não carrega mais.
Servidores DNS apresentam alto uso de CPU. Instale o wireshark no servidor para capturar as requisições DNS (filtro de captura = port 53) do servidor e procure por pesquisas de endereço totalmente esdrúxulas, tipo asewrirj.cn (o final pode ser cn, biz, com, info), isso o ajudará a identificar máquinas infectadas.
Servidores WINS também são atacados. Use o wireshark no servidor para capturar as requisições WINS (filtro de captura = port 137) do servidor e procure por pesquisas de endereço totalmente esdrúxulas, tipo asewrirj.cn (o final pode ser cn, biz, com, info), isso o ajudará a identificar máquinas infectadas.
Se você conectar um pen-drive ele será infectado. Sendo criado um arquivo autorun.inf no pen-drive.Métodos de infecção: Vulnerabilidade divulgada pela Microsoft sob a identificação MS8-067. Descoberta de senhas fracas. Não deixe senhas em branco, principalmente a do administrador do micro. Pastas compartilhadas.
Pen-drives. Cuidado, o autorun do pen-drive infectado mostra uma mensagem bem similar à “Abrir a pasta para visualizar os arquivos, enganando o usuário e fazendo ele escolher a opção errada.
Bloqueio:
Aplicar o service pack mais atual para o seu sistema operacional;
Aplicar a correção KB958644, conforme o sistema operacional.
A senha de administrador da máquina deve ser diferente de branco e da lista usada pelo vírus.
Se necessário desabilitar temporariamente o serviço “servidor” do micro. Com isso o micro fecha todos os compartilhamentos e perde mais algumas funcionalidades.
Remoção:
Ferramenta de remoção KB800830 (MSRT). Mais informação neste link para o site da Microsoft; e/ou removedor da Symantec.
Após remover o vírus, reinstalar o anti-vírus e atualizá-lo.
Fique de olho nos micros infectados para ver se o vírus não retorna. Em caso de reincidências diversas recomendo formatação, com posterior reinstalação do S.O., seguido de aplicação do service pack mais atual, da correção KB958644 e instalação do anti-vírus tudo com o micro fora de rede. Só depois conectá-lo a rede.
Depois faça o Windows Update para a ultima atualização no site da Microsoft.
