Eeeeta que amanhã é dia!!
--
Raul Libório
http://rauhmaru.blogspot.com/
rauhmarutsªhotmailºcom
Linux user#581
The bug is on the table.
-- Forwarded message --
From: Centro de Atendimento a Incidentes de Seguranca c...@cais.rnp.br
Date: 2009/3/30
Subject: CAIS-Alerta: O worm Conficker e o dia 1 de abril
To: pop-...@cais.rnp.br, rnp-ale...@cais.rnp.br, rnp-...@cais.rnp.br
-BEGIN PGP SIGNED MESSAGE-
Prezados,
O worm Conficker, também conhecido como Downadup, surgiu em novembro de
2008. Entretanto, somente nas últimas semanas ganhou a atenção da mídia
devido à proximidade de 1 de abril, uma data que desencadeia certas
atividades do worm.
Casos de worms que tem uma data como gatilho são muitos, mesmo que
historicamente poucos deles tenham efetivamente causado algum efeito
notável. Há muitos worms que causam mais danos, mas os worms com datas
relacionadas tem um apelo especial com na mídia.
É bom lembrar que a data 1 de abril é também o Dia da Mentira, data que
não é comemorada apenas no Brasil. Todos os anos surgem diversas notícias,
histórias, produtos e serviços fictícios divulgados na Internet,
especialmente relacionados com tecnologia.
O principal objetivo deste alerta é enfatizar as características técnicas
deste worm, não deixando dúvidas sobre o que realmente pode acontecer em 1
de abril. Outro objetivo deste alerta é enfatizar a importância de boas
práticas de segurança e tratamento de incidentes. Não há razão para pânico
se a rede está livre deste e de outros vírus.
A seguir apresentamos um breve resumo da atividade do worm Conficker no
backbone RNP. O único fato no momento é que este worm tem se propagado com
sucesso. Na sequência apresentamos um resumo de perguntas e respostas
frequentes sobre o worm que esclarecem a relação com 1 de abril. Por fim,
separamos uma seleção de referências essenciais sobre este worm, incluindo
ferramentas de remoção recomendadas.
PROPAGAÇÃO DO CONFICKER NA RNP
PERGUNTAS E RESPOSTAS MAIS FREQUENTES
MAIS INFORMAÇÕES
PROPAGAÇÃO DO CONFICKER NA RNP
Dentro da rede da RNP, o CAIS identificou neste ano níveis alarmantes de
infecção em consequência da ação do worm Conficker.
Somente em Janeiro e Fevereiro de 2009 o CAIS já enviou 20.451
notificações reportando problemas em sistemas que utilizam a rede da RNP,
o que corresponde a quase 57% do total de incidentes notificados em 2008,
35.939 incidentes. Destes 20.451 incidentes, cerca de 70% correspondem à
infecções pelo vírus Conficker na rede Ipê.
PERGUNTAS E RESPOSTAS MAIS FREQUENTES
Para responder de maneira mais objetiva possível as perguntas mais
frequentes sobre este worm e sobre a data 1 de abril traduzimos os
principais trechos de um post de 26 de março do blog F-Secure Weblog.
Agradecemos a Mikko H. Hypponen, Chief Research Officer da F-Secure, por
autorizar a tradução.
P: Ouvi falar que alguma coisa realmente ruim vai acontecer na Internet
em 1 de abril! Realmente vai?
R: Não, na verdade não. O Conficker vai mudar um pouco seu comportamento,
mas é improvável que ele cause qualquer efeito visível no dia 1 de abril.
P: Então o que este worm fará em 1 de abril?
R: Até o momento o Conficker tem consultado 250 domínios diferentes
todos os dias para realizar o download e executar um programa de
atualização. Em 1 de abril a última versão de Conficker vai começar a
consultar 500 domínios de um conjunto de 50 mil domínios por dia para
executar as mesmas operações.
P: Como assim, última versão do Conficker? Há versões diferentes?
R: Sim, e a última versão não é a mais comum. A maioria das máquinas
infectadas foi infectada pela variante B, que se disseminou no
início de janeiro. Com a variante B nada acontece em 1 de abril.
P: Acabei de verificar e constatei que minha máquina Windows está
limpa. Alguma coisa vai acontecer em 1 de abril?
R: Não.
P: Uso Mac, alguma coisa vai acontecer em meu computador?
R: Não.
P: Então isto significa que os atacantes podem usar este canal de download
para executar qualquer programa em todas as máquinas?
R: Sim, em todas as maquinas que estejam infectadas com a última
versão do worm.
P: E sobre esta funcionalidade peer-to-peer (P2P) de que ouvi falar?
R: O worm tem alguma funcionalidade peer-to-peer (P2P), o que significa
que computadores infectados podem se comunicar entre si sem a necessidade
de um servidor. Isto permite que o worm atualize a si mesmo sem a
necessidade de utilizar nenhum dos 250 ou 50 mil domínios.
P: Mas isto não significa que, se os atacantes quiserem executar
alguma coisa nestas máquinas, eles não precisam esperar por 1 de
abril?
R: Sim! Esta é outra razão pela qual é improvável que qualquer coisa
significativa aconteça em 1 de abril.
P: A mídia irá exagerar sobre este worm?
R: Sim, certamente vai. Sempre há hype quando um worm que se espalha muito
tem uma data como gatilho de propagação. Pense em casos como Michelangelo
(1992), CIH (1999), Sobig (2003), Mydoom (2004) e Blackworm (2006).
P: Mas nestes casos nada
