Quick Talk

Para quem não se lembra, Confiquer é um “worm” (vou chamar de vírus mesmo daqui em diante) que ficou famoso em 2008/2009 por ter infectado milhões de computadores usando técnicas avançadas.

Na semana passada ao plugar meu HDD externo no meu desktop descobri, olhando a lista de opções que o XP mostra, que havia um vírus no meu drive. Até aí tudo normal, porque esse drive é feito para passear por todo canto mesmo e tudo o que realmente importa está protegido contra vírus em arquivos ISO. Mas quando eu fiz o upload do danado para o Virustotal me dizer do que se tratava, levei um susto: era o famigerado Conficker. Uma praga que eu pensei que estivesse morta há anos.

Remotamente eu inspecionei a última máquina onde eu havia plugado o drive, o servidor de um cliente, e constatei que estava infectado, mas consegui fazer a remoção remotamente mesmo. Fiquei preocupado, porque o Conficker também se propaga usando uma vulnerabilidade documentada do XP e poderia ter infectado toda a rede do meu cliente. Mas no dia seguinte, durante o expediente, fiz uma varredura e constatei que o resto da rede estava OK, provavelmente porque até o mais velho dos meus CDs de instalação do XP já tem o patch para essa vulnerabilidade integrado.

Como parecia um evento isolado, deixei para lá.

Mas hoje eu descobri que o problema pode ser maior.

Fui visitar um cliente esporádico onde eu não ia há um mês e descobri por acaso pelo menos uma dúzia de máquinas XP Sp3  infectadas com o Confiquer. É fácil identificar que sua rede está infectada: máquinas vulneráveis mas com o Avast atualizado acusam “do nada” e repetidas vezes,  que foi encontrado um “malware genérico” (o danado do AVAST não reconhece que se trata do Conficker) em “c:\windows\system32\x” (sem extensão mesmo) e/ou em um arquivo .JPG. Isso é o Confiquer tentando “saltar” para a máquina pela rede mas sendo barrado pelo Avast.  E, nas máquinas infectadas, tentar acessar o site da Avast, da Mcafee, da Sophos ou da Microsoft sempre dá erro no browser. Você não conegue nem baixar o Autoruns.

A solução, entretanto, é simples:

• Rode o Conficker Detection Tool em uma máquina qualquer da rede (pode ser uma infectada) e faça uma lista das máquinas infectadas que você vai ter que limpar;
• Coloque em um pendrive o patch da MS de acordo com a versão do sistema operacional e o Sophos Virus Removal Tool;
• Instale o patch e reinicie a máquina. Isso impedirá que o vírus em outra máquina “salte” para ela de novo;
• Instale e execute o Sophos para procurar e eliminar o vírus.

O Sophos tentará se atualizar mas não conseguirá. Isso é normal, porque o vírus está em execução bloquando o acesso ao servidor da Sophos. Prossiga assim mesmo. A remoção ocorrerá em duas etapas: Na primeira que dura menos de um minuto o Sophos localizará o vírus na memória e pedirá sua permissão para encerrá-lo. Em seguida ele vai fazer uma varredura nos discos à procura do danado para deletar. Enquanto a segunda etapa não for concluída o vírus será reativado toda vez que reiniciar a máquina.

Não rode o Sophos em uma máquina que tem usuários usuários conectados pela rede. Durante a execução o Sophos impede a conexão aos compartilhamentos (mas o PING continua funcionando). Não sei se isso é proposital ou um efeito colateral do encerramento forçado do vírus.

Você pode remover o vírus “na munheca” também e se poupar da loooonga verificação que o Sophos faz. A Microsoft tem uma longa explicação e até um iFixit que eu não testei ainda. Mas nas três vezes em que executei o Sophos ele encontrou um único arquivo relacionado com o Conficker: uma DLL de nome aparentemente aleatório (algo como “vxysa.dll”) em c:\windows\system32. É possível que simplesmente deletar essa DLL em Modo de Segurança resolva o problema. Fiz um teste em uma máquina e tive sucesso. Ao visualizar pelo Autoruns você verá essa DLL ser carregada em SERVICES, mas sem assinatura. E tentar desligá-la pelo Autoruns acusará erro de “Acesso Negado” porque o Confiquer removeu as permissões na chave do Registro.

Mas note que o Conficker tem diversas variantes e o método manual que funcionou comigo pode não funcionar com sua variante.

Outra coisa: ao contrário de muito malware, que tem em todos os arquivos a data de infecção, não adianta fazer uma busca por data para achar os arquivos desse Conficker. A DLL que apaguei era de 2008.