sábado, 4 de abril de 2009

Entenda por que não houve um grande ataque de vírus no dia 1º de abril


Praga virtual Conficker preocupou internautas durante a semana.

Fonte: G1.com.br

O assunto “segurança” ganhou um destaque incomum esta semana com as notícias a respeito da ativação do vírus Conficker na quarta-feira (1º). Mas o dia passou e, aparentemente, nada aconteceu. Nenhum grande ataque foi revelado. Por que especialistas levantaram a possibilidade do ataque nesta data? E por que nada aconteceu? A coluna de Altieres Rohr no G1 desta sexta-feira (3) responde essas perguntas.

A coluna de sexta-feira normalmente traz o resumo de notícias da semana. Esta semana, no entanto, o assunto do Conficker foi tão predominante que a coluna será dedicada a explicá-lo: como surgiu, como atua e por que especialistas fizeram a previsão de primeiro de abril.

Antes, a coluna vai explicar como se prevenir do ataque do vírus, diagnosticá-lo e removê-lo.

Como saber se você está infectado e remover o Conficker

Para se prevenir, instale a atualização de segurança do Windows. Basta configurar as atualizações automáticas no Painel de Controle ou visitar o Windows Update agora mesmo. Após instalar a correção, você estará imune contra o ataque mais perigoso da praga.

Para saber se você está infectado, clique neste link. É uma página com seis imagens. Se todas aparecerem corretamente, você não está infectado. A página traz possíveis combinações de erros e seus significados. É possível detectar o vírus dessa forma porque ele bloqueia alguns sites e, caso as imagens não carreguem, é o Conficker que pode estar bloqueando-as.


Foto: Reprodução

Site de testes exibe imagens para identificar se computador está infectado com o vírus Conficker (Foto: Reprodução)

Se você descobrir que está infectado, basta seguir as instruções de remoção já publicadas na coluna anteriormente, clicando no link.

Conficker surge para explorar brecha no Windows

O Conficker foi encontrado em novembro do ano passado. Enquanto a maioria dos vírus necessita que o usuário abra um arquivo anexado a um e-mail, clique em um link malicioso ou, nas piores hipóteses, visite um site que foi atacado por hackers, o Conficker é ainda mais poderoso: ele consegue infectar um computador apenas por ele estar conectado à internet.

Essa façanha é normalmente impossível. O Conficker consegue isso porque faz uso de uma brecha de segurança existente no Windows, que foi corrigida em outubro. No entanto, muitos usuários e empresas não instalam as atualizações de segurança, deixando seus sistemas vulneráveis.

Quando a coluna Segurança para o PC noticiou a divulgação da atualização, a reportagem antecipou “o risco de que um worm fosse criado para tirar proveito da brecha” – o que, de fato, aconteceu, com o aparecimento do Conficker.

O próprio Conficker, ainda no início de sua disseminação, virou assunto da coluna pelo fato notável de que ele “corrigia” o problema no Windows após infectar o sistema, de maneira a evitar que pragas concorrentes pudessem infectar o mesmo computador. Com isso, o Conficker impediu que outros vírus se espalhassem da mesma forma que ele.

No final de dezembro, uma nova versão da praga, batizada de Conficker.B, foi lançada. Além de utilizar a vulnerabilidade no Windows, ela também podia copiar-se para pen drives e para computadores na rede.

Rede zumbi descentralizada para controlar sistemas infectados

O objetivo do Conficker é formar uma rede zumbi, ou seja, dar ao criminoso o controle de todos os computadores infectados. (Veja como funciona uma rede zumbi).

As redes zumbis normalmente possuem um “centro de comando e controle” (C&C). Uma vez que especialistas conseguem derrubar o C&C, o criminoso perde a habilidade de controlar a rede.

O C&C do Conficker não tem endereço fixo. Em vez disso, a praga gera, todos os dias, uma lista de endereços que ela tentará contactar. O criminoso sabe quais são os critérios usados para a geração destes endereços e, se quiser tomar o controle da rede zumbi durante aquele dia, pode colocar online o endereço para fazer o C&C. Isso impede que especialistas e autoridades desativem o mecanismo de controle do Conficker.

Especialistas de segurança também podem prever a lista de endereços que o vírus irá contactar. Foi assim que as estatísticas de infecção foram coletadas.

Os computadores infectados ainda formam uma rede ponto a ponto (P2P). Ela funciona de forma semelhante aos programas de compartilhamento de arquivos. Através dela, o criminoso pode enviar comandos que seriam lentamente propagadas pela rede P2P até chegarem em todos os computadores infectados, sem a necessidade dos endereços gerados diariamente.

Para que apenas o criador do Conficker possa controlar os computadores infectados, a praga possui um sistema que verifica se o comando enviado por meio do C&C ou pela rede P2P partiu mesmo do seu autor.


O que mudou no dia primeiro de abril

Além das variações A (a primeira) e B (a segunda), existe ainda uma terceira, o Conficker.C. Sendo a versão mais recente do vírus, não é a mais comum.

No dia primeiro de abril, o Conficker.C mudou de forma significativa a maneira de gerar os endereços de controle. Isso levou pesquisadores a acharem que os criminosos estavam preparando algo para esse dia.

Não havia motivos para o criminoso esperar até o dia primeiro. Os endereços já estavam sendo gerados antes – o autor poderia tê-los usado sem problema. E, se ele não quisesse usar os endereços gerados, poderia controlar a rede pelo mecanismo P2P.

No dia primeiro de abril, o número de endereços gerados aumentou consideravelmente. Antes, eram 250. Agora, são 50.000, dos quais o vírus selecionará apenas 500. Isso continua acontecendo hoje, e continuará em todos os computadores infectados pelo Conficker.C.

O Conficker sempre esteve sob o controle do seu autor – e continua assim. A ameaça existia em todos os dias antes dessa quarta-feira, e permanece a mesma. Não é porque nada aconteceu no dia primeiro de abril que nada irá acontecer amanhã. O que vai acontecer é incerto, mas não deve ser algo que afetará a infraestrutura da internet como um todo.

É também improvável que o Conficker danifique os computadores infectados de qualquer forma. É um vírus profissional, com objetivo financeiro. Inutilizar os sistemas infectados apenas inutiliza o próprio vírus, o que seu criador certamente não deseja.

Faça sua parte descobrindo se o seu computador está infectado com as dicas publicadas na coluna de hoje e desinfecte seu sistema, se ele estiver com o vírus. Não há motivos para entrar em pânico: o funcionamento básico do Conficker não é inovador ou revolucionário.

Bom, é isso. O próximo post é referente a como se pode remover o Conficker.

Nenhum comentário: