i

sexta-feira, 3 de abril de 2009

Entenda por que não houve um grande ataque de vírus no dia 1º de abril

Praga virtual Conficker preocupou internautas durante a semana. Você pode deixar suas questões sobre segurança na área de comentários.
O assunto “segurança” ganhou um destaque incomum esta semana com as notícias a respeito da ativação do vírus Conficker na quarta-feira (1º). Mas o dia passou e, aparentemente, nada aconteceu. Nenhum grande ataque foi revelado. Por que especialistas levantaram a possibilidade do ataque nesta data? E por que nada aconteceu? A coluna desta sexta-feira (3) responde essas perguntas. Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras. A coluna de sexta-feira normalmente traz o resumo de notícias da semana. Esta semana, no entanto, o assunto do Conficker foi tão predominante que a coluna será dedicada a explicá-lo: como surgiu, como atua e por que especialistas fizeram a previsão de primeiro de abril. Antes, a coluna vai explicar como se prevenir do ataque do vírus, diagnosticá-lo e removê-lo.

Como saber se você está infectado e remover o Conficker


Para se prevenir, instale a atualização de segurança do Windows. Basta configurar as atualizações automáticas no Painel de Controle ou visitar o Windows Update agora mesmo. Após instalar a correção, você estará imune contra o ataque mais perigoso da praga. Para saber se você está infectado, clique neste link. É uma página com seis imagens. Se todas aparecerem corretamente, você não está infectado. A página traz possíveis combinações de erros e seus significados. É possível detectar o vírus dessa forma porque ele bloqueia alguns sites e, caso as imagens não carreguem, é o Conficker que pode estar bloqueando-as.



Se você descobrir que está infectado, basta seguir as instruções de remoção já publicadas na coluna.

Conficker surge para explorar brecha no Windows


O Conficker foi encontrado em novembro do ano passado. Enquanto a maioria dos vírus necessita que o usuário abra um arquivo anexado a um e-mail, clique em um link malicioso ou, nas piores hipóteses, visite um site que foi atacado por hackers, o Conficker é ainda mais poderoso: ele consegue infectar um computador apenas por ele estar conectado à internet. Essa façanha é normalmente impossível. O Conficker consegue isso porque faz uso de uma brecha de segurança existente no Windows, que foi corrigida em outubro. No entanto, muitos usuários e empresas não instalam as atualizações de segurança, deixando seus sistemas vulneráveis. Quando a coluna Segurança para o PC noticiou a divulgação da atualização, a reportagem antecipou “o risco de que um worm fosse criado para tirar proveito da brecha” – o que, de fato, aconteceu, com o aparecimento do Conficker. O próprio Conficker, ainda no início de sua disseminação, virou assunto da coluna pelo fato notável de que ele “corrigia” o problema no Windows após infectar o sistema, de maneira a evitar que pragas concorrentes pudessem infectar o mesmo computador. Com isso, o Conficker impediu que outros vírus se espalhassem da mesma forma que ele. No final de dezembro, uma nova versão da praga, batizada de Conficker.B, foi lançada. Além de utilizar a vulnerabilidade no Windows, ela também podia copiar-se para pen drives e para computadores na rede.

Rede zumbi descentralizada para controlar sistemas infectados


O objetivo do Conficker é formar uma rede zumbi, ou seja, dar ao criminoso o controle de todos os computadores infectados. (Veja como funciona uma rede zumbi). As redes zumbis normalmente possuem um “centro de comando e controle” (C&C). Uma vez que especialistas conseguem derrubar o C&C, o criminoso perde a habilidade de controlar a rede. O C&C do Conficker não tem endereço fixo. Em vez disso, a praga gera, todos os dias, uma lista de endereços que ela tentará contactar. O criminoso sabe quais são os critérios usados para a geração destes endereços e, se quiser tomar o controle da rede zumbi durante aquele dia, pode colocar online o endereço para fazer o C&C. Isso impede que especialistas e autoridades desativem o mecanismo de controle do Conficker. Especialistas de segurança também podem prever a lista de endereços que o vírus irá contactar. Foi assim que as estatísticas de infecção foram coletadas. Os computadores infectados ainda formam uma rede ponto a ponto (P2P). Ela funciona de forma semelhante aos programas de compartilhamento de arquivos. Através dela, o criminoso pode enviar comandos que seriam lentamente propagadas pela rede P2P até chegarem em todos os computadores infectados, sem a necessidade dos endereços gerados diariamente. Para que apenas o criador do Conficker possa controlar os computadores infectados, a praga possui um sistema que verifica se o comando enviado por meio do C&C ou pela rede P2P partiu mesmo do seu autor.

O que mudou no dia primeiro de abril


Além das variações A (a primeira) e B (a segunda), existe ainda uma terceira, o Conficker.C. Sendo a versão mais recente do vírus, não é a mais comum. No dia primeiro de abril, o Conficker.C mudou de forma significativa a maneira de gerar os endereços de controle. Isso levou pesquisadores a acharem que os criminosos estavam preparando algo para esse dia. Não havia motivos para o criminoso esperar até o dia primeiro. Os endereços já estavam sendo gerados antes – o autor poderia tê-los usado sem problema. E, se ele não quisesse usar os endereços gerados, poderia controlar a rede pelo mecanismo P2P. No dia primeiro de abril, o número de endereços gerados aumentou consideravelmente. Antes, eram 250. Agora, são 50.000, dos quais o vírus selecionará apenas 500. Isso continua acontecendo hoje, e continuará em todos os computadores infectados pelo Conficker.C. O Conficker sempre esteve sob o controle do seu autor – e continua assim. A ameaça existia em todos os dias antes dessa quarta-feira, e permanece a mesma. Não é porque nada aconteceu no dia primeiro de abril que nada irá acontecer amanhã. O que vai acontecer é incerto, mas não deve ser algo que afetará a infraestrutura da internet como um todo. É também improvável que o Conficker danifique os computadores infectados de qualquer forma. É um vírus profissional, com objetivo financeiro. Inutilizar os sistemas infectados apenas inutiliza o próprio vírus, o que seu criador certamente não deseja. Faça sua parte descobrindo se o seu computador está infectado com as dicas publicadas na coluna de hoje e desinfecte seu sistema, se ele estiver com o vírus. Não há motivos para entrar em pânico: o funcionamento básico do Conficker não é inovador ou revolucionário. A coluna Segurança para o PC volta na segunda-feira (6) para discutir a ética que cerca a pesquisa em falhas de segurança. Bom fim de semana a todos!

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.

Nenhum comentário:

 
Design by Wordpress Theme | Bloggerized by Free Blogger Templates | Macys Printable Coupons