domingo, 18 de janeiro de 2009

CPD x Downadup/Conflicker/Kido

A semana que passou foi nitidamente atípica no meu serviço. Tudo começou na sexta-feira anterior, dia 09/01, finalzinho da tarde.

Um vírus havia surgido em um dos micros da rede e insistia em não sair. Segunda, de manhã, começaram a pipocar os chamados.

Como já havia "perdido" um servidor anteriormente por causa de vírus, resolvemos descontectar o mesmo, antes que acontecesse o pior. Vi que o antivírus instalado havia impedido a tentativa de infecção, mas resolvi não arriscar.

Passamos a metade do primeiro dia até descobrir quem era o invasor e qual método de limpeza realmente funcionaria. Enquanto isso, o telefone não parava de tocar, os sistemas principais continuavam parados e os contribuintes não podiam ser atendidos.

Tratava-se do Net-Worm.Win32.Kido, também conhecido como Downadup ou Conflicker e pulava de micro em micro com, "veloz como um Spitfire", como diria Silvio Luis.

Lado bom: descobrimos como retirá-lo e impedir uma reinfecção nos PCs. Lado mau: teríamos de ir, micro a micro, nos 105 da nossa rede!

Somente na quinta-feira, à tarde, com praticamente todos os micros verificados, reativamos o servidor.

A informação mais recente que tenho, segundo notícia no Terra, é que já são mais de 9 milhões de computadores infectados (estimativa, baseadas em IPs externos. No nosso caso, atrás de um ip estavam os 100 micros).

Ah, quer a receita express que nós usamos pra se livrar do problema? Siga os passos abaixo:

  1. Desconecte o micro da rede;
  2. Instale a atualização do Windows, disponível desde outubro de 2008, que fecha a brecha usada pelo worm. Download aqui.
  3. Execute uma ferramenta de remoção específica, como esta, do f-secure.
  4. Verifique se o firewall do windows está funcionando normalmente e só em caso positivo, conecte o micro à rede. Se possível, só faça isso depois que todos os computadores forem revisados;
Embora aparentemente não precise, optamos por instalar o Service Pack 3 nos micros (passo 1.2) também.

Para quem quer saber mais:
  • No site da F-Secure, um texto detalhado sobre o worm.
  • No blog SSegurança, pra quem prefere em português, um texto mais rico sobre o mesmo assunto. Altamente recomendado.

Dicas finais:
  • Manter seu Windows atualizado não é frescura;
  • Antivírus e antispyware então, nem se fala;
  • Firewall sempre ativado;
  • Cautela e informação no uso da internet são sempre bem-vindos;
  • Rede empresarial não é lugar pra antivírus FREE/Home, definitivamente;
Obs. 1: Gosto muito de Linux. Se você consegue viver só com ele, parabéns! Infelizmente não é o caso da grande maioria dos usuários. Então, nem perca tempo com respostas do tipo: "Resolva esse problema: use Linux!"

Obs. 2: Parece que agora vão comprar a solução de segurança empresarial que a gente pediu há tempos...bem, ou se aprende pelo amor ou pela dor....

W32.Downadup Removal Tool (Symantec)

Atualizado em 05.02.2009.

Nenhum comentário:

Postar um comentário

Bacula-dir não executa após atualização do SO

 Atualizei o Ununtu (18-->20) e o tive erro na execução devido a bibliotecas libreadline.so.7 : cannot open shared object file: No such f...