O Virus Conficker
Este primeiro de Abril está sendo um dia preocupante para os administradores de redes de todo o mundo. Hoje é o dia em que o virus Conficker ativa sua nova formula de atualização dos computadores já infectados. Eu vou explicar por que esse é o virus mais avançado que já se espalhou na internet até hoje, esse sendo o motivo da preocupação que os especialistas estão demonstrando na mídia.
A forma de infecção do virus é séria mas sem muita novidade. As primeiras variantes (A, B e C), exploravam uma falha de segurança do Windows 2000, Windows XP, Windows 2003, Windows Vista e Windows 2008. A Microsoft corrigiu a falha de segurança em outubro passado, mas ainda temos muitas máquinas vulneráveis. A falha é séria pois a instalação do virus é automática, não requer nenhuma ação do usuário ou do administrador da rede. As variantes B e C também se espalham procurando compatilhamentos de rede com senhas fracas e por pendrives USB. A versão D não se reproduz, o que tecnicamente lhe faria perder o status de virus.
A novidade do Conficker no quesito se espalhar é que cada vez que ele se reproduz seu arquivo é recompactado e recriptografado utilizando parâmetros e senhas diferentes. O resultado é simples: nenhum arquivo do virus é igual ao outro. Como a maioria dos antivirus funciona procurando assinaturas de virus nos arquivos apenas eles não conseguem identificar os arquivos do virus . Os produtos Norman e MAV (que utiliza as tecnologias da Norman), procuram assinaturas no padrão de execução do arquivo também. Somos um dos poucos a identificar os arquivos do Conficker.
O sistema de atualização automática do virus também é interessante. Os virus anteriores no máximo tinham uma lista de poucos sites em que eles procuravam suas atualizações. Era relativamente fácil desabilitar dos estes sites e garantir que o virus não se atualizasse. Hoje entrou em funcionamento um novo sistema em que o virus gera uma lista de 50.000 sites por dia (a lista muda todos os dias), cada máquina infectada escolhe 500 para tentar baixar sua nova atualização. Esses 50.000 sites estão espalhados em vários TLDs de vários países. Fica virtualmente impossível desabilitar tantas possibilidades todos os dias para impedir que o virus se atualize nas máquinas infectadas.
Além disso, a variante D do virus também tem um avançado sistema de P2P para espalhar novas versões do virus. Uma vez que alguma máquina é atualizada com sucesso (o método acima atualizaria 1% das máquinas por dia no máximo), essa máquina começa a conversar com outras máquinas infectadas para espalhar a nova variante.
Outro ponto interessante é que a nova versão é assinada digitalmente utilizando a mesma tecnologia que a Microsoft e todas as outras usam para assinar suas atualizações. Isso impede que terceiros tentem sequestrar as máquinas infectadas colocando no ar uma falsa atualização que desabilite o virus, o que já havia sido feito anteriormente com outros virus.
Como desenvolvedor de softwares de segurança não há como não ficar impressionado com a sofisticação do Conficker. Ele realmente foi o que chegou mais perto do que eu imagino ser um "virus perfeito". Não chegou lá, mas chegou perto.
Vale citar também que tamanha sofisticação não parece obra de apenas um programador. Na minha opinião ele foi criado por uma equipe de hackers realmente conhecedora. Não seria simples montar uma equipe como esta.
Vale a preocupação? Sim. Ele realmente tem o potencial de gerar um estrago enorme. Estimativas indicam que exitem entre 4 e 10 milhões de computadores estão infectados e não me parece que serão limpos tão cedo. Controlando essa quantidade de computadores seria possível até mesmo parar a internet. Sem exageiro.
O que fazer?
- Mantenham os sistemas operacionais dos computadores sempre atualizados.
- Não utilize senhas fracas para nada. Use uma frase com no mínimo quatro palavras ou um conjunto de letras, números de caracteres especiais (@#$%^&*...). No caso das frases seja criativo, "Ordem e progresso", "Quando o sol bater na janela do meu quarto" e outras são conhecidas e não contam.
- Mantenha seus servidores atrás de um firewall. Se der para fazer uma DMZ é melhor. O MAV 5.0 - Internet Gateway está para ser lançado e seu firewall é bem avançado (explicarei depois no blog os porquês).
- Tenha um antivirus de qualidade nos servidores e nas estações. Em questão de qualidade, ninguém bate a Norman e a Kaspersky para antivirus de estação (as duas detectam o Conficker).
