Alerta de vírus sobre o worm Win32/Conficker

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a uma versão do Windows diferente da que você está usando. O conteúdo deste artigo pode não ser relevante para você.Visite o Centro de Suporte de Windows 7

Nesta página

Expandir tudo | Recolher tudo

Resumo
As informações neste artigo da Base de Dados de Conhecimentos se destinam a amb...

As informações neste artigo da Base de Dados de Conhecimentos se destinam a ambientes corporativos com administradores de sistema que possam implementar os detalhes nele contidos. Não há por que usar este artigo se o programa antivírus limpar o vírus corretamente e seus sistemas estiverem totalmente atualizados. Para confirmar se o vírus Conficker foi limpo do sistema, execute uma verificação rápida nesta página da Web :

http://onecare.live.com/site/pt-br/default.htm (http://onecare.live.com/site/pt-br/default.htm)

Para obter informações detalhadas sobre o vírus Conficker, visite a seguinte página da Web da Microsoft :

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker (http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker)

Voltar para o início

Sintomas de infecção
Se seu computador estiver infectado com esse worm, você pode não apresentar alg...

Se seu computador estiver infectado com esse worm, você pode não apresentar alguns sintomas ou pode ter quaisquer dos sintomas a seguir:

As diretivas de bloqueio de conta estão sendo ultrapassadas.
Atualizações Automáticas, Serviço de Transferência Inteligente em Segundo Plano (BITS), Windows Defender e Error Reporting Services estão desabilitados.
Os controladores de domínio respondem lentamente a solicitações de cliente.
A rede está congestionada.
Vários sites relacionados à segurança não podem ser acessados.
Várias ferramentas relacionadas à segurança não serão executadas. Para obter uma lista de ferramentas conhecidas, visite a página da Web da Microsoft a seguir e clique na guia Analysis, onde há informações sobre o Win32/Conficker.D. Para obter mais informações, visite esta página da Web da Microsoft:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D (http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D)

Para obter mais informações sobre Win32/Conficker, visite a página a seguir do Microsoft Malware Protection Center:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker (http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)

Voltar para o início

Métodos de propagação
O Win32/Conficker tem vários métodos de propagação. Isso inclui os seguintes: E...

O Win32/Conficker tem vários métodos de propagação. Isso inclui os seguintes:

Exploração da vulnerabilidade corrigida pela atualização de segurança 958644 (MS08-067)
O uso de compartilhamentos de rede
O uso da funcionalidade Reprodução Automática

Portanto, você deve ter cuidado ao limpar uma rede de modo que a ameaça não seja reintroduzida nos sistemas que foram limpos anteriormente.

Observação A variante Win32/Conficker.D não se espalha para unidades removíveis nem pastas compartilhadas em uma rede. O Win32/Conficker.D é instalado por variantes anteriores do Win32/Conficker.

Voltar para o início

Prevenção
Use senhas de administrador fortes que sejam exclusivas para todos os computador...

Use senhas de administrador fortes que sejam exclusivas para todos os computadores.
Não faça logon em computadores usando credenciais de Administrador de Domínio nem credenciais que tenham acesso a todos os computadores.
Verifique se as atualizações de segurança mais recentes foram aplicadas a todos os sistemas.
Desative o recurso de Reprodução Automática. Para obter mais informações, consulte a etapa 3 da seção "Criar um objeto de Diretiva de Grupo".
Remova direitos excessivos de compartilhamentos. Isso inclui remover permissões de gravação na raiz de todos os compartilhamentos.

Voltar para o início

Etapas de atenuação
Interromper a expansão do Win32/Conficker usando configurações de Diretiva de Gr...

Interromper a expansão do Win32/Conficker usando configurações de Diretiva de Grupo

Observações

Importante Não deixe de documentar todas as atuais configurações antes de fazer qualquer alteração sugerida neste artigo.
Este procedimento não remove o malware Conficker do sistema. Ele somente interrompe a expansão do malware. Será necessário usar um produto antivírus para remover o malware Conficker do sistema. Ou então siga as etapas na seção "Etapas manuais para remover a variante Conficker.b" deste artigo da Base de Dados de Conhecimento para remover o malware do sistema manualmente.
Talvez você não consiga instalar corretamente aplicativos, service packs ou outras atualizações enquanto vigorarem as alterações de permissão recomendadas nas etapas a seguir. Isso inclui mas não se limita à aplicação de atualizações usando o Windows Update, o servidor do Microsoft Windows Server Update Services (WSUS) e o System Center Configuration Manager (SCCM), já que esses produtos dependem de componentes das Atualizações Automáticas. Não deixe de alterar as permissões de volta às configurações padrão depois de limpar o sistema.
Para obter mais informações sobre permissões padrão da chave do Registro SVCHOST e da Pasta Tarefas mencionadas na seção "Criar um objeto de Diretiva de Grupo", consulte a tabela Permissões padrão no final deste artigo.

Voltar para o início

Criar um objeto de Diretiva de Grupo

Crie um novo objeto de Diretiva de Grupo (GPO) que se aplique a todos os computadores em uma unidade organizacional (OU) específica, em um site ou domínio, conforme necessário em seu ambiente.

Para fazer isto, execute as seguintes etapas:

Defina a diretiva para remover as permissões de gravação para a seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
Isto impede que o serviço de malware nomeado aleatoriamente seja criado no valor do Registro netsvcs.

Para fazer isto, execute as seguintes etapas:
1. Abra o Console de Gerenciamento de Diretiva de Grupo (GPMC).
2. Crie um novo GPO. Atribua o nome desejado ao objeto.
3. Abra o novo GPO e mova-o para a seguinte pasta:
  Configurações do Computador\Configurações do Windows\Configurações de Segurança\Registro
4. Clique com o botão direito do mouse em Registro e clique em Adicionar Chave.
5. Na caixa de diálogo Selecionar Chave do Registro, expanda Máquina e, em seguida, mova-os para a seguinte pasta:
  Software\Microsoft\Windows NT\CurrentVersion\Svchost
6. Clique em OK.
7. Na caixa de diálogo que abrir, clique para limpar a caixa de seleção Controle Total de Administradores e Sistema.
8. Clique em OK.
9. Na caixa de diálogo Adicionar Objeto, clique em Substituir permissões existentes em todas as subchaves com permissões herdadas.
10. Clique em OK.
Defina a diretiva para remover as permissões de gravação para a pasta %windir%\tasks: Isto impede que o malware Conficker crie Tarefas agendadas que possam infectar o sistema novamente.

Para fazer isto, execute as seguintes etapas:
1. No mesmo GPO criado anteriormente, mova para a seguinte pasta:
  Configurações do Computador\Configurações do Windows\Configurações de Segurança\Sistema de Arquivos
2. Clique com o botão direito do mouse em Sistema de Arquivos e clique em Adicionar Arquivo.
3. Na caixa de diálogo Adicionar um arquivo ou pasta, vá até a pasta %windir%\Tasks. Verifique se o item Tarefas está realçado e listado na caixa de diálogo Pasta.
4. Clique em OK.
5. Na caixa de diálogo que é aberta, desmarque as caixas de seleção Controle total, Modificar e Gravar para Administradores e Sistema.
6. Clique em OK.
7. Na caixa de diálogo Adicionar objeto, clique em Substituir permissões existentes em todas as subchaves com permissões herdadas.
8. Clique em OK.
Defina os recursos de Reprodução automática (Execução automática) para desativados. Isto impede que o malware Conficker se espalhe usando os recursos de Reprodução automática internos no Windows.

Observação Existem atualizações diferentes que devem ser instaladas para desabilitar a funcionalidade do Autorun corretamente, de acordo com a versão do Windows que você estiver usando:
- Para desabilitar a funcionalidade do Autorun no Windows Vista ou no Windows Server 2008, é necessário ter a atualização de segurança 950582 (http://support.microsoft.com/kb/950582) instalada (descrito no boletim de segurança MS08-038).
- Para desabilitar a funcionalidade do Autorun no Windows XP, no Windows Server 2003 ou no Windows 2000, é necessário ter a atualização de segurança 950582 (http://support.microsoft.com/kb/950582) , a atualização 967715 (http://support.microsoft.com/kb/967715) ou a 953252 (http://support.microsoft.com/kb/953252) instaladas.
Para definir os recursos de Reprodução automática (Execução automática) para desativados, siga estas etapas:
1. No mesmo GPO criado anteriormente, mova para uma das seguintes pastas:
  - Para um domínio do Windows Server 2003, mova para a seguinte pasta:
    Configurações do Computador\Modelos Administrativos\Sistema
  - Para um domínio do Windows 2008, mova para a seguinte pasta:
    Configuração do Computador\Modelos Administrativos\Componentes do Windows\Diretivas da Reprodução automática
2. Abra a diretiva Desativar Reprodução Automática.
3. Na caixa de diálogo Desativar Reprodução Automática, clique em Habilitado.
4. No menu suspenso, clique em Todas as unidades.
5. Clique em OK.
Feche o Console de Gerenciamento de Diretivas de Grupo.
Vincule o GPO criado recentemente ao local que você deseja aplicá-lo.
Permita que as configurações de Diretiva de Grupo atualizem todos os computadores pelo tempo suficiente. Em geral, a replicação da Diretiva de Grupo leva cinco minutos em cada controlador de domínio e, em seguida, 90 minutos para se replicar no restante dos sistemas. Algumas horas devem ser suficientes. Entretanto, dependendo do ambiente, mais tempo pode ser necessário.
Após a propagação das configurações de Diretiva de Grupo, limpe o malware dos sistemas.

Para fazer isto, execute as seguintes etapas:
1. Execute varreduras de antivírus completas em todos os computadores.
2. Se o seu software de antivírus não detectar o Conficker, você poderá usar a Ferramenta de Remoção de Software Mal-intencionado (MSRT) para limpar o malware. Para obter mais informações, visite a seguinte página da Microsoft:
  http://www.microsoft.com/brasil/security/malwareremove/default.mspx (http://www.microsoft.com/brasil/security/malwareremove/default.mspx)
  Observação Talvez você precise executar algumas etapas manuais para limpar todos os efeitos do malware. Recomendamos que você revise as etapas listadas na seção "Etapas manuais para remover o vírus Win32/Conficker" deste artigo para limpar todos os efeitos do malware.

Voltar para o início

Recuperação
Execute a ferramenta de Remoção de Software Mal-intencionado O Microsoft Malwar...

Execute a ferramenta de Remoção de Software Mal-intencionado

O Microsoft Malware Protection Center atualizou a ferramenta de Remoção de Software Mal-intencionado (MSRT). Isso é um binário autônomo que é útil na remoção de software mal-intencionado predominante e pode ajudar a remover a família do malware Win32/Conficker.

Observação A MSRT não evita novas infecções pois não é um programa antivírus em tempo real.

É possível baixar a MSRT nos seguintes sites da Microsoft :

http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=pt-br (http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=pt-br)
http://support.microsoft.com/kb/890830/pt-br (http://support.microsoft.com/kb/890830)

Para obter informações adicionais sobre os detalhes específicos de implantação da MSRT, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

891716 (http://support.microsoft.com/kb/891716/ ) Implantação da Ferramenta de Remoção de Software Mal-Intencionado do Microsoft Windows em um ambiente corporativo

Observação A ferramenta Stand-Alone System Sweeper também removerá essa infecção. Essa ferramenta está disponível como um componente do Microsoft Desktop Optimization Pack 6.0 ou por meio do Suporte e Atendimento ao Cliente. Para obter o Microsoft Desktop Optimization Pack, visite o seguinte site da Microsoft :

http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx (http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx)

Se o Windows Live OneCare ou o Microsoft Forefront Client Security estiver sendo executados no sistema, esses programas também bloquearão a ameaça antes que ela seja instalada.

Voltar para o início

Etapas manuais para remover o vírus Win32/Conficker

Observações

Estas etapas manuais não são mais necessárias e só devem ser usadas se você não tiver um software antivírus para remover o vírus Conficker.
Dependendo da variante do Win32/Conficker que está infectando o computador, alguns valores mencionados nesta seção poderão não ser alterados pelo vírus.

As etapas detalhadas a seguir podem ajudar a remover o Conficker de um sistema manualmente:

Faça logon no sistema usando uma conta local.

Importante Se possível, não faça logon no sistema usando uma conta de Domínio. Principalmente, não faça logon usando uma conta de Administrador do Domínio. O malware representa o usuário conectado e acessa os recursos de rede usando as credenciais do mesmo. Esse comportamento permite que o malware se espalhe.
Interrompa o serviço do servidor. Isso remove os compartilhamentos do Administrador do sistema de forma que o malware não possa se espalhar usando esse método.

Observação O serviço do servidor deve ser desabilitado apenas temporariamente enquanto você limpa o malware do seu ambiente. Isso é particularmente importante em servidores de produção porque essa etapa afetará a disponibilidade do recurso da rede. Assim que o ambiente estiver limpo, o serviço do servidor poderá ser habilitado novamente.

Para interromper o serviço do servidor, use o MMC (Console de Gerenciamento Microsoft) de Serviços. Para fazer isto, execute as seguintes etapas:
1. Dependendo do seu sistema, execute os seguintes procedimentos:
  - No Windows Vista e Windows Server 2008, clique em Iniciar, digite services.msc na caixa Iniciar Pesquisa e clique em services.msc na lista Programas.
  - No Windows 2000, Windows XP e Windows Server 2003, clique em Iniciar, clique em Executar, digite services.msc e clique em OK.
2. Clique duas vezes em Servidor.
3. Clique em Parar.
4. Selecione Desativada na caixa Tipo de inicialização.
5. Clique em Aplicar.
Remova todas as tarefas agendadas criadas por AT. Para fazer isso, digite AT /Excluir /Sim em um prompt de comando.
Pare o serviço Agendador de Tarefas.
- Para parar o serviço Agendador de Tarefas no Windows 2000, Windows XP e Windows Server 2003, use o Console de Gerenciamento Microsoft (MMC) de Serviços ou o utilitário SC.exe.
- Para parar o serviço Agendador de Tarefas no Windows Vista ou no Windows Server 2008, siga estas etapas.
  
  Importante Essa seção, método ou tarefa contém etapas que informam sobre como modificar o Registro. No entanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Por isso, certifique-se de que essas etapas sejam seguidas cuidadosamente. Para obter mais proteção, faça um backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter informações adicionais sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
  322756 (http://support.microsoft.com/kb/322756/ ) Como fazer o backup, editar e restaurar o Registro no Windows XP e Windows Server 2003
  1. Clique em Iniciar, digite regedit na caixa Iniciar Pesquisa e clique em regedit.exe na lista Programas.
  2. Localize e clique na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
  3. No painel de detalhes, clique com o botão direito do mouse na entrada DWORD Iniciar e em Modificar.
  4. Na caixa Dados do valor, digite 4 e clique em OK.
  5. Saia do Editor do Registro e reinicie o computador.
    
    Observação O serviço do Agendador de Tarefas deve ser desabilitado apenas temporariamente enquanto você limpa o malware do seu ambiente. Isso é particularmente importante no Windows Vista e no Windows Server 2008, pois esta etapa afetará várias Tarefas Agendadas internas. Assim que o ambiente estiver limpo, habilite o serviço do servidor novamente.
Baixe e instale manualmente a atualização de segurança 958644 (MS08-067). Para obter mais informações, visite o seguinte site da Microsoft :
http://www.microsoft.com/brasil/technet/security/Bulletin/MS08-067.mspx (http://www.microsoft.com/brasil/technet/security/Bulletin/MS08-067.mspx)
Observação Este site pode ser bloqueado devido à infecção do malware. Nesse caso, você deve baixar a atualização de um computador que não esteja infectado e depois transferir o arquivo de atualização para o sistema infectado. Recomendamos que você grave a atualização em um CD porque o CD gravado não é gravável. Portanto, ele não pode ser infectado. Se uma unidade de CD gravável não estiver disponível, uma unidade de memória USB removível pode ser a única forma de copiar a atualização para o sistema infectado. Se você usar uma unidade removível, verifique se o malware pode infectar a unidade com um arquivo Autorun.inf. Depois de copiar a atualização para a unidade removível, certifique-se de que você alterou a unidade para o modo somente leitura, se a opção estiver disponível para seu dispositivo. Se o módulo somente leitura estiver disponível, ele será habilitado geralmente usando um comutador físico no dispositivo. Em seguida, depois de copiar o arquivo de atualização para o computador infectado, verifique se um arquivo Autorun.inf foi gravado na unidade removível. Caso ele tenha sido gravado, renomeie o arquivo Autorun.inf file como algo parecido com Autorun.bad para que ele não seja executado quando a unidade removível for conectada a um computador.
Redefina quaisquer senhas de Administrador Local e de Domínio para usar uma nova senha forte. Para obter mais informações, visite o seguinte site da Microsoft :
http://technet.microsoft.com/pt-br/library/cc875814.aspx (http://technet.microsoft.com/pt-br/library/cc875814.aspx)
No Editor do Registro, localize e clique na seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
No painel de detalhes, clique com o botão direito do mouse na entrada netsvcs e depois em Modificar.
Se o computador estiver infectado com o vírus Win32/Conficker, um nome de serviço aleatório será listado.

Observação Com o Win32/Conficker.B, o nome do serviço tinha letras aleatórias e ficava no final da lista. Com variantes mais recentes, o nome do serviço pode estar em qualquer posição na lista e talvez pareça mais legítimo. Se o nome aleatório do serviço não estiver no final, compare o sistema com a "tabela Serviços" no procedimento para determinar qual nome de serviço pode ter sido adicionado pelo Win32/Conficker. Para verificar, compare a lista na "tabela Serviços" com um sistema semelhante que você saiba que não está infectado.

Anote o nome do serviço de malware. Você precisará dessa informação posteriormente neste procedimento.

Exclua a linha que contém a referência ao serviço de malware. Certifique-se de que uma alimentação de linha é deixada em branco abaixo da última entrada legítima listada e clique em OK.

Observações sobre a tabela Serviços

Todas as entradas na tabela Serviços são válidas, exceto os itens destacados em negrito.
Os itens destacados em negrito são exemplos do que o vírus Win32/Conficker pode adicionar ao valor netscvcs na chave do Registro SVCHOST.
Esta lista de serviços pode não estar completa, dependendo do que está instalado no sistema.
A tabela Serviços é de uma instalação padrão do Windows.
A entrada adicionada à lista pelo vírus Win32/Conficker é uma técnica de ofuscamento. A entrada destacada mal-intencionada que supostamente parece a primeira letra é um "L" minúsculo. Entretanto, na verdade é um "I" maiúsculo. Por causa da fonte usada pelo sistema operacional, o "I" maiúsculo parece um "L" minúsculo.

Tabela Serviços

Recolher esta tabelaExpandir esta tabela

Windows Server 2008	Windows Vista	Windows Server 2003	Windows XP	Windows 2000
AeLookupSvc	AeLookupSvc	AppMgmt	6to4	EventSystem
wercplsupport	wercplsupport	AudioSrv	AppMgmt	Ias
Themes	Themes	Browser	AudioSrv	Iprip
CertPropSvc	CertPropSvc	CryptSvc	Browser	Irmon
SCPolicySvc	SCPolicySvc	DMServer	CryptSvc	Netman
lanmanserver	lanmanserver	EventSystem	DMServer	Nwsapagent
gpsvc	gpsvc	HidServ	DHCP	Rasauto
IKEEXT	IKEEXT	Ias	ERSvc	Iaslogon
AudioSrv	AudioSrv	Iprip	EventSystem	Rasman
FastUserSwitchingCompatibility	FastUserSwitchingCompatibility	Irmon	FastUserSwitchingCompatibility	Remoteaccess
Ias	Ias	LanmanServer	HidServ	SENS
Irmon	Irmon	LanmanWorkstation	Ias	Sharedaccess
Nla	Nla	Messenger	Iprip	Ntmssvc
Ntmssvc	Ntmssvc	Netman	Irmon	wzcsvc
NWCWorkstation	NWCWorkstation	Nla	LanmanServer
Nwsapagent	Nwsapagent	Ntmssvc	LanmanWorkstation
Rasauto	Rasauto	NWCWorkstation	Messenger
Rasman	Rasman	Nwsapagent	Netman
Iaslogon	Iaslogon	Iaslogon	Iaslogon
Remoteaccess	Remoteaccess	Rasauto	Nla
SENS	SENS	Rasman	Ntmssvc
Sharedaccess	Sharedaccess	Remoteaccess	NWCWorkstation
SRService	SRService	Sacsvr	Nwsapagent
Tapisrv	Tapisrv	Schedule	Rasauto
Wmi	Wmi	Seclogon	Rasman
WmdmPmSp	WmdmPmSp	SENS	Remoteaccess
TermService	TermService	Sharedaccess	Schedule
wuauserv	wuauserv	Themes	Seclogon
BITS	BITS	TrkWks	SENS
ShellHWDetection	ShellHWDetection	TrkSvr	Sharedaccess
LogonHours	LogonHours	W32Time	SRService
PCAudit	PCAudit	WZCSVC	Tapisrv
helpsvc	helpsvc	Wmi	Themes
uploadmgr	uploadmgr	WmdmPmSp	TrkWks
iphlpsvc	iphlpsvc	winmgmt	W32Time
seclogon	seclogon	wuauserv	WZCSVC
AppInfo	AppInfo	BITS	Wmi
msiscsi	msiscsi	ShellHWDetection	WmdmPmSp
MMCSS	MMCSS	uploadmgr	winmgmt
browser	ProfSvc	WmdmPmSN	TermService
winmgmt	EapHost	xmlprov	wuauserv
SessionEnv	winmgmt	AeLookupSvc	BITS
ProfSvc	schedule	helpsvc	ShellHWDetection
EapHost	SessionEnv		helpsvc
hkmsvc	browser		xmlprov
schedule	hkmsvc		wscsvc
AppMgmt	AppMgmt		WmdmPmSN
sacsvr			hkmsvc

Em um procedimento anterior, você anotou o nome do serviço de malware. Nesse exemplo, o nome da entrado do malware era "Iaslogon". Usando essa informação, siga estas etapas:
1. No Editor do Registro, localize e clique na seguinte subchave do Registro, na qual BadServiceName é o nome do serviço de malware:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
  Por exemplo, localize e clique na seguinte sub-chave do Registro:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
2. Clique com o botão direito do mouse na subchave no painel de navegação do nome do serviço de malware e clique em Permissões.
3. Na caixa de diálogo Entrada de permissões para SvcHost, clique em Avançado.
4. Na caixa de diálogo Configurações Avançadas de Segurança, marque as seguintes caixas de seleção:
  Herdar do pai as entradas de permissão aplicáveis a objetos filho. Incluí-las nas entradas explicitamente definidas aqui.
  
  Substituir as entradas de permissão em todos os objetos filho pelas entradas aplicáveis mostradas aqui.
Pressione F5 para atualizar o Editor do Registro. No painel de detalhes, é possível ver e editar o DLL de malware que carrega como "ServiceDll". Para fazer isso, execute as seguintes etapas:
1. Clique duas vezes na entrada ServiceDll.
2. Anote o caminho do DLL referenciado. Você precisará dessa informação posteriormente neste procedimento. Por exemplo, o caminho do DLL referenciado pode ser semelhante ao seguinte:
```
%SystemRoot%\System32\doieuln.dll
```
  Renomeie a referência para que seja semelhante ao seguinte:
```
%SystemRoot%\System32\doieuln.old
```
3. Clique em OK.
Remova a entrada do serviço de malware da subchave Executar no Registro.
1. No Editor do Registro, localize e clique nas seguintes subchaves do Registro:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. Nas duas subchaves, localize todas as entradas que começam com "rundll32.exe" e que referenciam o DLL de malware que carregue como "ServiceDll", identificado na etapa 12b. Exclua a entrada.
3. Saia do Editor do Registro e reinicie o computador.
Verifique a existência de arquivos Autorun.inf nas unidades do sistema. Use o Bloco de Notas para abrir cada arquivo e depois verifique se é um arquivo Autorun.inf válido. Veja a seguir, um exemplo de um típico arquivo Autorun.inf válido.
```
[autorun]

shellexecute=Servers\splash.hta *DVD*

icon=Servers\autorun.ico
```
Geralmente, um Autorun.inf válido possui de 1 a 2 quilobytes (KB).
Exclua todos os arquivos Autorun.inf que não pareçam válidos.
Reinicie o computador.
Torne visíveis os arquivos ocultos. Para isso, digite o seguinte comando em um prompt de comando:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
Ative Mostrar pastas e arquivos ocultos para que o arquivo possa ser exibido. Para fazer isso, execute as seguintes etapas:
1. Na etapa 12b, você anotou o caminho do arquivo .dll referenciado para o malware. Por exemplo, você notou um caminho semelhante ao seguinte:
  %systemroot%\System32\doieuln.dll
  No Windows Explorer, abra o diretório %systemroot%\System32 ou o diretório que contenha o malware.
2. Clique em Ferramentas e em Opções de pasta.
3. Clique na guia Modo de exibição.
4. Marque a caixa de seleção Mostrar pastas e arquivos ocultos.
5. Clique em OK.
Selecione o arquivo .dll.
Edite as permissões no arquivo para adicionar Controle total para todos. Para fazer isto, execute as seguintes etapas:
1. Clique com o botão direito do mouse no arquivo .dll e clique em Propriedades.
2. Clique na guia Segurança.
3. Clique em Todose marque a caixa de seleção Controle Total na coluna Permitir.
4. Clique em OK.
Exclua o arquivo .dll referenciado para o malware. Por exemplo, exclua o arquivo %systemroot%\System32\doieuln.dll.
Habilite os serviços BITS, Atualizações Automáticas, Relatório de Erros e Windows Defender usando o Console de Gerenciamento Microsoft (MMC) de Serviços.
Desative a Execução Automática para ajudar a reduzir o efeito de qualquer infecção nova. Para fazer isto, execute as seguintes etapas:
1. Dependendo do seu sistema, instale uma das seguintes atualizações:
  - Se você estiver executando o Windows 2000, Windows XP ou Windows Server 2003, instale a atualização 967715. Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
    967715 (http://support.microsoft.com/kb/967715/ ) Como desabilitar a funcionalidade do Autorun no Windows
  - Se você estiver executando o Windows Vista ou o Windows Server 2008, instale a atualização de segurança 950582. Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
    950582 (http://support.microsoft.com/kb/950582/ ) MS08-038: vulnerabilidade no Windows Explorer pode permitir execução remota de código
  Observação A atualização 967715 e a atualização de segurança 950582 não são relacionadas a esse problema de malware. Essas atualizações devem ser instaladas para permitir a função do registro na etapa 23b.
2. Digite o seguinte comando em um prompt de comando:
  reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
Se o sistema estiver executando o Windows Defender, reabilite o local de início automático do Windows Defender. Para isso, digite o seguinte comando no prompt de comando:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
Para Windows Vista e sistemas operacionais posteriores, o malware altera a configuração global da janela de recepção de ajuste automático do TCP para desabilitado. Para alterar essa configuração novamente, digite o seguinte comando em um prompt de comando:
netsh interface tcp set global autotuning=normal

Se, após realizar esse procedimento, o computador parecer estar infectado novamente, uma das condições a seguir pode ser verdadeira:

Um dos locais de início automático não foi removido. Por exemplo, ou a tarefa de AT não foi removida ou um arquivo Autorun.inf não foi removido.
A atualização de segurança para MS08-067 foi instalada de forma incorreta.

Esse malware pode alterar outras configurações que não são abordadas neste artigo. Visite a seguinte página do Microsoft Malware Protection Center para obter os detalhes mais recentes sobre o Win32/Conficker:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker (http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)

Voltar para o início

Verifique se o sistema está limpo

Verifique se os serviços a seguir foram iniciados:

Atualizações Automáticas (wuauserv)
Serviço de Transferência Inteligente em Segundo Plano (BITS)
Windows Defender (windefend) (se aplicável)
Serviço de Relatório de Erros do Windows

Para isso, digite os seguintes comandos no prompt de comando. Pressione ENTER após cada comando.

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Após cada execução de comando, você receberá uma mensagem semelhante à seguinte:

SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

Nesse exemplo, "STATE : 4 RUNNING" indica que o serviço está em execução.

Para verificar o status da subchave do Registro SvcHost, siga estas etapas:

No Editor do Registro, localize e clique na seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
No painel de detalhes, clique duas vezes em netsvcs e revise os nomes de serviço listados. Role a tela para baixo até o final da lista. Se o computador for novamente infectado com o Conficker, será listado um nome de serviço aleatório. Por exemplo, nesse procedimento, o nome do serviço malware é "Iaslogon".

Se essas etapas não resolverem o problema, entre em contato com o seu fornecedor de software antivírus. Para obter mais informações sobre esse problema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

49500 (http://support.microsoft.com/kb/49500/ ) Lista de fornecedores de software antivírus

Se você não tiver um fornecedor de software antivírus ou se ele não puder ajudar, entre em contato com o Atendimento Microsoft para obter ajuda.

Voltar para o início

Depois que o ambiente estiver completamente limpo

Depois que o ambiente estiver completamente limpo, siga estas etapas:

Reabilite o serviço do servidor e o serviço Agendador de Tarefas.
Restaure as permissões padrão na chave do Registro SVCHOST e na pasta Tarefas. Isso deverá ser revertido às configurações padrão usando as configurações de Diretivas de Grupo. Se apenas uma diretiva for removida, talvez não seja possível retornar às as permissões padrão. Consulte a tabela de permissões padrão na seção "Etapas de atenuação" para obter mais informações.
Atualize o computador instalando as atualizações de segurança ausentes. Para fazer isso, use Windows Update, servidor Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (SCCM) ou seu produto de gerenciamento de atualização de terceiros. Se você usar SMS ou SCCM, será necessário reabilitar primeiro o serviço de servidor. Caso contrário, o SMS ou o SCCM talvez não possam atualizar o sistema.

Voltar para o início

Identificando sistemas infectados
Se você tiver problemas para identificar sistemas infectados com o Conficker, o...

Se você tiver problemas para identificar sistemas infectados com o Conficker, os detalhes fornecidos neste blog da TechNet poderão ajudar :

http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx (http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx)

Voltar para o início

Tabela Permissões padrão
A tabela a seguir mostra permissões padrão para cada sistema operacional. Essas...

A tabela a seguir mostra permissões padrão para cada sistema operacional. Essas permissões estão em vigor antes de você aplicar as alterações recomendadas neste artigo. Essas permissões podem ser diferentes das permissões definidas no seu ambiente. Portanto, você deve anotar suas configurações antes de fazer qualquer alteração. Você deve fazer isso para poder restaurar as configurações depois de limpar o sistema.

Recolher esta tabelaExpandir esta tabela

Sistema operacional	Windows Server 2008		Windows Vista		Windows Server 2003		Windows XP		Windows 2000
Configuração	Registro Svchost	Pasta Tarefas	Registro Svchost	Pasta Tarefas	Registro Svchost	Pasta Tarefas	Registro Svchost	Pasta Tarefas	Registro Svchost	Pasta Tarefas
Conta
Administradores (Grupo local)	Controle Total	Controle Total	Controle Total	Controle Total	Controle Total	Controle Total	Controle Total	Controle Total	Controle Total	Controle Total
Sistema	Controle Total	Controle Total	Controle Total	Controle Total	Controle Total	Controle Total	Controle Total	Controle Total	Controle Total	Controle Total
Usuários avançados (Grupo local)	Não aplicável	Não aplicável	Não aplicável	Não aplicável	Leitura	Não aplicável	Leitura	Não aplicável	Leitura	Não aplicável
Usuários (Grupo local)	Especial	Não aplicável	Especial	Não aplicável	Leitura	Não aplicável	Leitura	Não aplicável	Leitura	Não aplicável
	Aplicar a: Essa chave e subchaves		Aplicar a: Essa chave e subchaves
	Valor de consulta		Valor de consulta
	Enumerar subchaves		Enumerar subchaves
	Notificar		Notificar
	Controle de Leitura		Controle de Leitura
Usuários autenticados	Não aplicável	Especial	Não aplicável	Especial	Não aplicável	Não aplicável	Não aplicável	Não aplicável	Não aplicável	Não aplicável
		Aplicar a: Apenas esta pasta		Aplicar a: Apenas esta pasta
		Desviar Pasta		Desviar Pasta
		Listar Pasta		Listar Pasta
		Atributos de Leitura		Atributos de Leitura
		Atributos de Leitura Estendidos		Atributos de Leitura Estendidos
		Criar Arquivos		Criar Arquivos
		Permissões de Leitura		Permissões de Leitura
Operadores de cópia (Grupo local)	Não aplicável	Não aplicável	Não aplicável	Não aplicável	Não aplicável	Especial	Não aplicável	Especial
						Aplicar a: Apenas esta pasta		Aplicar a: Apenas esta pasta
						Desviar Pasta		Desviar Pasta
						Listar Pasta		Listar Pasta
						Atributos de Leitura		Atributos de Leitura
						Atributos de Leitura Estendidos		Atributos de Leitura Estendidos
						Criar Arquivos		Criar Arquivos
						Permissões de Leitura		Permissões de Leitura
Todos	Não aplicável	Não aplicável	Não aplicável	Não aplicável	Não aplicável	Não aplicável	Não aplicável	Não aplicável	Não aplicável	Especial
										Aplicar a: Esta pasta, subpastas e arquivos
										Desviar Pasta
										Listar Pasta
										Atributos de Leitura
										Atributos de Leitura Estendidos
										Criar Arquivos
										Criar pastas
										Atributos de Gravação
										Atributos de Gravação Estendidos
										Permissões de Leitura

Voltar para o início

A informação contida neste artigo aplica-se a:

Windows Server 2008 Datacenter without Hyper-V
Windows Server 2008 Enterprise without Hyper-V
Windows Server 2008 for Itanium-Based Systems
Windows Server 2008 Standard without Hyper-V
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Standard
Windows Web Server 2008
Service Pack 1 para Windows Vista nas seguintes plataformas

Windows Vista Business
Windows Vista Enterprise
Windows Vista Home Basic
Windows Vista Home Premium
Windows Vista Starter
Windows Vista Ultimate
Windows Vista Enterprise 64-bit edition
Windows Vista Home Basic 64-bit edition
Windows Vista Home Premium 64-bit edition
Windows Vista Ultimate 64-bit edition
Windows Vista Business 64-bit edition

Microsoft Windows Server 2003 Service Pack 1 nas seguintes plataformas

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Web Edition
Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems

Microsoft Windows Server 2003, Datacenter x64 Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Standard x64 Edition
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 Service Pack 2 nas seguintes plataformas

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Web Edition
Microsoft Windows Server 2003, Datacenter x64 Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Standard x64 Edition
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems

Microsoft Windows XP Service Pack 2 nas seguintes plataformas

Microsoft Windows XP Home Edition
Microsoft Windows XP Professional

Service Pack 3 para Windows XP nas seguintes plataformas

Microsoft Windows XP Home Edition
Microsoft Windows XP Professional

Microsoft Windows 2000 Service Pack 4 nas seguintes plataformas

Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional Edition
Microsoft Windows 2000 Server

Voltar para o início

kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007

Voltar para o início

Forneça comentários sobre essa informação

Essa informação resolveu seu problema?

Sim

Não

Não sei

Essa informação foi relevante?

Sim

Não

O que podemos fazer para melhorar essa informação?

Para proteger sua privacidade, não inclua informações de contato em seus comentários.

1		Baixar Msn 2009
2		Msn Messenger
3		Brasfoot Registro
4		Emule Download
5		Avg Antivirus
6		Ares Galaxy
7		Photoscape
8		Jogo PES 2009
9		Winrar Baixar
10		Limewire Classic

DOWNLOADS

Páginas

Visitantes:

BTN

Oline now

2 de dezembro de 2010