Um vírus havia surgido em um dos micros da rede e insistia em não sair. Segunda, de manhã, começaram a pipocar os chamados.
Como já havia "perdido" um servidor anteriormente por causa de vírus, resolvemos descontectar o mesmo, antes que acontecesse o pior. Vi que o antivírus instalado havia impedido a tentativa de infecção, mas resolvi não arriscar.
Passamos a metade do primeiro dia até descobrir quem era o invasor e qual método de limpeza realmente funcionaria. Enquanto isso, o telefone não parava de tocar, os sistemas principais continuavam parados e os contribuintes não podiam ser atendidos.
Tratava-se do Net-Worm.Win32.Kido, também conhecido como Downadup ou Conflicker e pulava de micro em micro com, "veloz como um Spitfire", como diria Silvio Luis.
Lado bom: descobrimos como retirá-lo e impedir uma reinfecção nos PCs. Lado mau: teríamos de ir, micro a micro, nos 105 da nossa rede!
Somente na quinta-feira, à tarde, com praticamente todos os micros verificados, reativamos o servidor.
A informação mais recente que tenho, segundo notícia no Terra, é que já são mais de 9 milhões de computadores infectados (estimativa, baseadas em IPs externos. No nosso caso, atrás de um ip estavam os 100 micros).
Ah, quer a receita express que nós usamos pra se livrar do problema? Siga os passos abaixo:
- Desconecte o micro da rede;
- Instale a atualização do Windows, disponível desde outubro de 2008, que fecha a brecha usada pelo worm. Download aqui.
- Execute uma ferramenta de remoção específica, como esta, do f-secure.
- Verifique se o firewall do windows está funcionando normalmente e só em caso positivo, conecte o micro à rede. Se possível, só faça isso depois que todos os computadores forem revisados;
Para quem quer saber mais:
- No site da F-Secure, um texto detalhado sobre o worm.
- No blog SSegurança, pra quem prefere em português, um texto mais rico sobre o mesmo assunto. Altamente recomendado.
Dicas finais:
- Manter seu Windows atualizado não é frescura;
- Antivírus e antispyware então, nem se fala;
- Firewall sempre ativado;
- Cautela e informação no uso da internet são sempre bem-vindos;
- Rede empresarial não é lugar pra antivírus FREE/Home, definitivamente;
Obs. 2: Parece que agora vão comprar a solução de segurança empresarial que a gente pediu há tempos...bem, ou se aprende pelo amor ou pela dor....
W32.Downadup Removal Tool (Symantec)
Atualizado em 05.02.2009.
Nenhum comentário:
Postar um comentário