Trabalho em um uma instituição pública de médio porte (aproximadamente 1.000 usuários) e esta semana tomamos um grande susto: descobrimos uma contaminação massiva das estações de trabalho de nossa sede pelo vírus Conficker (variações A e B), também identificado como Downadup por alguns anti-virus. Essa rede é composta por um domínio de Active Directory com aproximadamente 450 estações de trabalho com Windows XP SP2 e uns 10 servidores com Windows Server 2003, dentre eles 2 controladores de domínio.
Notamos a contaminação através do constante bloqueio de contas (account lockout) de usuários, mesmo daqueles que já estavam logados ou dos que nem mesmo estavam presentes. Mesmo após desbloquear as contas, em pouco tempo o bloqueio acontecia novamente. Isso ocorre porque o vírus gera um ataque de força bruta contra a senha dos usuários do AD em cada máquina em que se instala.
Dentre as várias formas de se disseminar, uma delas é através da exploração de uma vulnerabilidade no serviço do servidor do Windos, relatada pela Microsoft em outubro de 2008 no
boletim MS08-067. Como tínhamos muitas máquinas onde o Hotfix indicado no boletim ainda não havia sido aplicado a exposição foi maior, embora mais tarde descobrimos que nem mesmo a aplicação do Hotfix sozinho seria suficiente para resolver o problema.
Depois de muita pesquisa, com o envolvimento e colaboração de toda a equipe de infra-estrutura de TI, conseguimos conter a disseminação e começar a remover o vírus com as seguintes medidas:
- Baixar do site da Microsoft os Hotfixes KB950582 (disable autorun) e KB958644 (boletim MS08-067) para Windows XP em português brasileiro e salvá-los em sua rede;
- Baixar também uma ferramenta de varredura e limpeza específica para o Conficker/Downadup ou mesmo uma genéria para malware (como a Ferramenta de Remoção de Software Mal-intencioando da Microsoft). Aqui utilizamos a da Symantec, embora haja também a da F-Secure;
- Editar o objeto GPO de seu domínio do AD e em Configurações de Computador\Configurações do Windows\Scripts\Inicialização clicar no botão "Mostrar Arquivos" e criar um novo arquivo de texto. Renomear o arquivo para algum nome com a extensão .cmd ou .bat, editar o arquivo e inserir nele um conteúdo similar ao seguinte:
@echo off
:: Script para instalar atualizacao contra vulnerabilidade do boletim MS08-067 / Virus Conficker.B
if exist c:\ms08-067.txt goto noautorun
Set datahora=%date:~4,2%/%date:~7,2%/%date:~10,4%-%time:~0,-3%
echo Instalando o hotfix WindowsXP-KB958644-x86-PTB.exe em %datahora% >> c:\ms08-067.txt
\\sede-dc01\netlogon\WindowsXP-KB958644-x86-PTB.exe /quiet
:noautorun
if exist c:\noautorun.txt goto clear
Set datahora=%date:~4,2%/%date:~7,2%/%date:~10,4%-%time:~0,-3%
echo Instalando o hotfix WindowsXP-KB950582-x86-PTB.exe em %datahora% >> c:\noautorun.txt
\\sede-dc01\netlogon\WindowsXP-KB950582-x86-PTB.exe /quiet
:clear
if exist c:\fixdownadup.log goto fim
Set datahora=%date:~4,2%/%date:~7,2%/%date:~10,4%-%time:~0,-3%
echo Inicio da execução do Fixer Symantec em %datahora% >> c:\fixdownadup.log
\\sede-dc01\netlogon\FixDownadup.exe /s /log=c:\fixdownadup.log
Set datahora=%date:~4,2%/%date:~7,2%/%date:~10,4%-%time:~0,-3%
echo Fim da execução do Fixer Symantec em %datahora% >> c:\fixdownadup.log
:fim
- Depois de salvar o arquivo e fechar a janela de conteúdo da pasta que continha o arquivo, clique na janela de "Propriedades de Inicialização" no botão Adicionar e depois Selecionar e selecione o arquivo que acabou de criar na lista mostrada. Feche a janela de Adicionar Script com OK e também a de Propriedades de Inicialização.
- Agora, ainda na GPO do domínio, em Configurações do Computador expanda Administrative Templates\Sistema e clique sobre Scripts. Habilite a política de "Execução Assíncrona de Scripts de Inicialização".
- Expanda Recuperação do Sistema e habilite as ambas as políticas existentes nesta pasta (Desligar a Recuperação do Sistema e Desligar a Configuração).
- Agora minimize (clique sobre o sinal de menos) as Configurações de Computador e expanda as Configurações de Usuário e em seguida selecione Sistema e habilite a política "Desabilita Autoplay"
- Finalmente, copie os arquivos baixados e mencionados em seu script para a pasta compartilhada NetLogon. O caminho real desta pasta é o seguinte (supondo que o seu sistema operacional esteja instalado no drive C) : "C:\Windows\Sysvol\Sysvol\seudomínio\scripts"
O resultado desta sequência de passos (depois, é claro, que as políticas tenham sido distribuídas e aplicadas a todos eles pelo AD) é que você terá desabilitado a restauração do sistema e execução automática de mídias removíveis em todos os seus computadores. Após o reinício dos computadores será executado um script antes do logon dos usuários que se encarregará de aplicar os Hotfixes do boletim MS08-067 (vulnerabilidade explorada pelo vírus) e contra a falha de aplicação da política que desabilita o Autorun. Na sequência será executada uma varredura (com limpeza, caso encontre ocorrências) silenciosa em busca do vírus.
Finalmente, nem mesmo tudo isso pode garantir a completa remoção do vírus ou a sua reinfestação, sendo estas apenas medidas para tentar conter seu alastramento e facilitar sua remoção. Portanto, é necessário manter um bom anti-vírus ativo e atualizado, configurado para varredura sob demanada, além de manter todas as atualizações do sistema operacional rigorosamente em dia (no meu caso, vou colocar ainda hoje para funcionar um servidor WSUS que já estava instalado mas ainda inativo).
Algumas informações que nos ajudaram até aqui foram encontradas em:
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=76852http://support.microsoft.com/kb/962007http://blogs.technet.com/risco/archive/2009/01/09/mantenha-as-esta-es-atualizadas-para-proteger-se-contra-o-win32-conficker-b-ms08-067.aspxhttp://vil.nai.com/vil/content/v_153464.htmhttp://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99Boa sorte!!!
