Conficker – Guia definitivo de remoção
O vírus Conficker já infectou mais de 15 milhões de computadores ao redor do mundo, se tornando assim um dos piores vírus da história da informática.
Esse é um guia sem frescuras que mostra como remover o vírus conficker de uma vez por todas do seu computador ou da rede de computadores da sua empresa.
.
Este tutorial está sendo atualizado diariamente, fique atento às novidades.
O malware infecta sistemas Windows e se propaga através de três formas:
- Explorando uma vulnerabilidade no serviço SVCHOST – TCP/445, cuja falha ja foi corrigida pelo alerta MS08-067 da Microsoft;
- Executa ataques de força bruta contra redes compartilhadas, tantando adivinhar a senha de acesso do administrador e dos usuários do domínio ( bloqueia as contas do ad );
- Infecta dispositivos removiveis normalmente utilizados em diversos computadores(pen drives, cartões de memória USB, etc.).
Você pode fazer um teste rápido para saber se está infectado ou não, clique no link abaixo.
http://www.infohelp.org/thales/conficker.htm
ou http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
Instruções para usuários domésticos.
Baixe o arquivo de remoção da kaspersky -> http://www.infohelp.org/thales/conficker/KK.exe
Após executar o arquivo, se aparecer a tela abaixo, é por que você está infectado.
Ou se a tela abaixo aparecer, é porque você não está infectado.
Após rodar a ferramenta da kaspersky, instale o Patch de segurança da Microsoft que corrige a vulnerabilidade.
Windows XP BR -> http://www.microsoft.com/downloads/details.aspx?displaylang=pt-br&FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03
ou pelo link -> http://www.infohelp.org/thales/conficker/WindowsXP-KB958644-x86-PTB.exe
Outras versões do Windows -> http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Instale também um patch que desabilita o autorun, que é por onde a maioria dos vírus se propagam: http://www.microsoft.com/downloads/details.aspx?displaylang=pt-br&FamilyID=c7dbcde3-7814-47c5-849e-e64ecfb35d74
Após isso, instale um antivírus de verdade, use F-secure ou Kaspersky.
Resumo para remover o vírus.
- Instale o Patch da Microsoft.
- Rode o arquivo de remoção da Kaspersky.
- Reinicie o PC.
- Rode novamente o arquivo de remoção da Kasperky para ter certeza que o sistema está limpo.
- Instale um antivírus e faça uma varredura completa no seu sistema.
Instruções para Administradores de Redes.
Existem várias ferramentas na internet que varrem a rede a procura do conficker, mas a maioria é ineficiente, o problema com as outras ferramentas é o seguinte:
O Conficker possui uma rotina para enganar o PC, fazendo-o acreditar que está seguro e livre da infecção pois usa um patch próprio para “fechar a porta” após a infecção. Daí o problema em usar as outras ferramentas como essa abaixo, ela mostra que o PC está com o patch aplicado, mas na verdade é o patch do vírus que foi aplicado para despistar as ferramentas de segurança.
Cheguei a conclusão que a melhor ferramenta para identificar computadores infectados e sem o patch de vulnerabilidade na sua rede é o Nmap -> http://nmap.org/dist/nmap-4.85BETA7-setup.exe
Após instalado, use a linha de comando abaixo:
nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args unsafe=1 ip_do_pc
Obs: antes das duas palavras ”script” acima em vermelho, tem dois hifens, é que o editor de texto do site troca por um só na hora de salvar o tutorial.
Se o pc estiver infectado, ele mostrará a mensagem:
Conficker: Likely INFECTED
Se não estiver infectado, mostrará a mensagem:
Conficker: Likely CLEAN
Abaixo, a evidência que mostra que o vírus aplicou o seu próprio patch -> MS08-067: PATCHED ( possibly by Conficker
Depois de remover o vírus do PC, teremos a seguinte tela com a informação que o conficker foi limpo, mas o computador continua sem o patch da microsoft -> MS08-067: VULNERABLE
Após aplicar o patch teremos a tela abaixo mostrando que o computador não está mais vulnerável -> MS08-067: FIXED
As ferramentas que uso em complemento ao nmap para varrer a rede são.
http://www.eeye.com/html/downloads/other/ConfickerScanner.html
http://www.mcafee.com/us/enterprise/confickertest.html
http://iv.cs.uni-bonn.de/uploads/media/scs_exe.zip
Fazendo o deploy do patch na rede.
Caso você não tenha um servidor de atualizações WSUS, com o psexec é possível fazer o deploy do patch da Microsoft em todos os computadores da rede remotamente.
http://download.sysinternals.com/Files/PsTools.zip
Baixe o pstools, crie uma pasta qualquer e copie o psexec que veio no pstools, copie o patch da microsoft e crie um arquivo chamado atualiza.txt
Coloque o nome dos computadores da sua rede dentro do arquivo atualiza.txt e salve.
Após isso, a partir do prompt de comando, rode o comando abaixo.
psexec @atualiza.txt -u seudomínio\usuário -p suasenha -c -d WindowsXP-KB958644-x86-PTB.exe /quiet /norestart
Com esse comando, você instala o patch em todos os computadores da rede silenciosamente.
Mais informações sobre o psexec -> http://www.microsoft.com/brasil/technet/sysinternals/utilities/psexec.mspx
Você também pode habilitar a Política de bloqueio de contas no seu domínio para descobrir quais computadores estão infectados na sua rede, para isso, acesse o link abaixo.
Resumo para remover os vírus da rede.
- Faça um deploy na rede para instalação do patch de segurança e peça para os usuários reiniciarem os computadores.
- Rode o nmap para procurar algum computador infectado na rede.
- Rode o arquivo de remoção da Kaspersky caso ache algum vírus.
- Reinicie e faça um full scan com o seu antivírus.
Mantenha seu sistema operacional e seu antivírus sempre atualizado para evitar problemas como esse.
Relacionados:
- Ativando Windows Vista com SP1/SP2 (definitivo)
Todos sabemos que na tentativa de evitar a pirataria... - Kaspersky Anti-Virus 7 – Instalando e ativando (definitivo)
O Kaspersky é sem dúvida o melhor e mais...
Opa, mais uma publicação de sucesso no IH!
boa mais um post rockz da IH
Ótimo post! Parabéns!
Congratulation!
teste
Show de Bola, Jhoness
Prezado Thales, consegui identificar que minha máquina está infectada com o Conficker A ou B pelo teste indicado em outra publicação do IH. Estou precisando desinfectá-lo para poder fazer a atualização do Kaspersky, mas todos os links acima quando tento acessar para fazer isso aparece uma tela do google mostrando que o link está “aparentemente qubrado”. Você pode me ajudar nisso?
@Antonio:
Prezado Antônio,
O que acontece é o seguinte, os links não estão quebrados, é que o vírus bloqueia os sites de antivirus como o do kaspersky.
Coloquei no tutorial o link para download da ferramenta de remoção da kaspersky e do patch da microsoft.
http://www.infohelp.org/thales/conficker/KK.exe
http://www.infohelp.org/thales/conficker/WindowsXP-KB958644-x86-PTB.exe
Abraços.
Fala jones…. luiz que vos fala….. jones… estou com uma bronca feia aqui em manaus, a NET fez alguma coisa nos servidores dela pq alguns dos meus clientes a internet congela du nada… pior… nao é so com a NET com a embratel tb, suspeito que seja o isa…. pq outros clientes da NET estao normal,,,,, ja formatei, instalei o SP1 para o isa 2006, cara ja fiz de tudo.. e nada… reparei que da uma mensagem no isa ” ip spoofing” ou algo assim…. helpe meu velho… nao sei mais o que fazer… EU AMO O ISAAAAAAAA…..
Excelente artigo. ja deve ter ajudado muita gente….
porém tem um pequeno erro que alguns já devem ter detectado é na linha de comando para o nmap. Na página está:
nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args unsafe=1 ip_do_pc
mas deve ser:
nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args unsafe=1 ip_do_pc
se copiar e colar do jeito que está não dá os resultados requeridos. o seu editor de html trocou “–” pelo caractere “& #8211;” daí que se copiar e colar no Zenmap não rola o scan direito…
@Kleber Jacinto:
corrigindo: o próprio editor da página ta alterando “dois hifens” pelo caracter “& #8211;”. então no comando nmap antes das duas palavras “script” devem ser “dois hifens”
@Kleber Jacinto:
Tem razão, obrigado pela observação.
Abraços.
Excelente postagem para remover esta praga.
Havia uma máquina que eu não conseguia rodar a ferramenta de remoção da Symantec (Norton) nem a ferramenta de detcção de software mal intencionado da Microsoft.
Nem se eu parasse os serviços de DNS, e os de Servidor.
As ferramentas eram, simplesmente, removidas e canceladas – isto quando da sua execução em memória.
Mas utilizando a ferramenta disponível em http://www.disinfecttools.com/ junto com as observações e a ajuda daqui, conseguir parar a execução do mesmo em memória e – assim – limpar o computador.
Excelente !!!
Parabéns !!!
@Jef:
Realmente é uma praga! ainda bem que conseguiu remover, agora imagina isto se espalhando em uma rede com mais de mil computadores? é o caos..
Abraços.
Fala Thales
Otimo guia irmão estou tomando uma surra para tirar essa praga.
Me diz uma coisa quando você identifica o equipamento com vírus tem alguma forma de retirarmos o virus remotamente ou temos que ir até o equipamento para realizar a remoção?
Abração e parabéns
@Luciano Aguiar:
Olá,
No meu caso, nos que eu identifiquei, acessei via vnc ou remote desktop para retirar os vírus.
Abs
Valeu a dica velho, desinfectei!!!
Fala Thales, conheci seu site a poucos dias e estou aprendendo muito kra, mas tenho uma dúvida, na lista de sistemas operacionais com esse falha de segurança não aparece o Windows Vista SP2, isso é pq o mesmo já tem essa falha corrigida?
Valeu e sucesso!
Outro tutorial perfeito! Vírus sacana…
muuuuuuuuuuuuuuuito show esse site
Excelente guia! Resolveu meu problema com 100% de limpeza. Parabéns!
Olá galera da IH!
Parabéns ainda é pouco perto da importância do conteúdo aqui disponível!
Vcs são “anjos”!!!
Que DEUS os abençoe imensamente por estarem fazendo muito bem a milhares de pessoas e computadores! hehehe
Abração a todos…
Vocês podem ajudar um iniciante? Rodei o Zenmap e ele me mostrou isso:
Starting Nmap 4.85BETA7 ( http://nmap.org ) at 2009-07-28 14:22 Hora oficial do Brasil
Skipping SYN Stealth Scan against 192.168.0.1 because Windows does not support scanning your own machine (localhost) this way.
NSE: Initiating script scanning.
Host 192.168.0.1 is up.
0 ports scanned on 192.168.0.1
Read data files from: C:\Arquivos de programas\Nmap
Nmap done: 1 IP address (1 host up) scanned in 1.44 seconds
Raw packets sent: 0 (0B) | Rcvd: 0 (0B)
Executei remotamente e depois no proprio servidor e a resposta foi a mesma
PERFEITO!!!
Excelente artigo. Tive problemas a alguns meses com quase 60 estações devido esse vírus. Utilizei outra ferramenta para verificação e remoção, mas achei interessante a varredura através do grande Nmap, e tb da aplicação do patch através do utilitário psexec.
alguem pode por favor postar a chave do kav 7.0
MUUUUUUUUUITO OBRIGADO, AMIGO!
o estranho é que eu peguei esse conficker agora pouco e acabei de formatar. :/
Olha cara meus parabens mesmo! pois este artigo me ajudou muito!
muito dificil eu dar os parabens assim desses topicos mas esse ficou perfeito!
Ola,gostaria de saber se vc pode me ajudar a remover o virus magania do meu pc,nao consigo de forma algunha tirar essa praga do pc,grato e parabens pelo post
muito bom esse tutorial, continui nos privilegiando com essas idéias memoráveis.
¬¬” n entndi a piada.. oq meu gravatar faz aeh?
Thales eu rodei muito na net procurando alguma forma de remover essa praga mas só aqui que eu consegui, parabéns cara pela iniciativa, temos que espalhar esse antidoto para outras pessoas também se curarem dessa maldita praga e matar de raiva esses rackers bandidos. Abraço irmão!
cara muito bom
memo
nen
sei como agradece
parabens pelo seu trabalho
concordo com o amigo ai de cima eu rodei o maximo que pude pela net mais so aki eu consegui resolve o problema o uniko que funciono…….nota 1000
Parabéns,
Excelente artigo, consegui limpar meu pc.
Abs!!!
mano usa kk killer nesse fez meu pc fazer as atualizaçaoes ele apaga virus que poucos antivirus apagam