1800 multas de estacionamento perdoadas por worm

Standard

Cidade da região metropolitana de Londres (Ealing) teve seus computadores infectados pelo worm Confiker-D.

Um funcionário infectou o sistema através do uso de um pendrive infectado. O worm se espalhou pela rede e provocou uma pane total na rede que impediu, entre outras coisas, a emissão das ditas multas.  Para evitar a propagação a rede foi desligada, pelo menos o acesso a sites remotos, o que também deixou o conceselho municipal sem acesso telefônico. Usam voip por lá.

mos 11 thug life
Creative Commons License photo credit: PixLjUicE23

O Worm explora uma fragilidade do Windows 2000 / Windows XP que permite a execução de programas em modo automático através da inserção de um pendrive.  No momento o conselho mnicipal de Ealing está em busca de um upgrade para XP de forma a bloquear esta funcionalidade. Segundo a matéria original esse upgrade deve custar um pouco mais de R$1.8 Milhões. O cara depijama tem algumas coisas a dizer sobre isso.

A que se perdoar o conselho municipal de Ealing. Afinal, sendo órgão público de um país de primeiro mundo eles não se preocupam em contrar gente competente.  Se não fosse assim, o administrador de sistemas deles teria lido, e instalado, o boletin de segurança emitido pela Microsoft há mais de um ano. Ou então, ele poderia apenas manter atualizados os antivirus das máquinas clientes. Qualquer uma destas duas providências teria evitado o problema com o Conficker-D.

Se fosse um pouco competente, há muito tempo o Sr. Administrador de redes de Ealing teria bloqueado o autorun de todas as portas usb, cd-roms de todos os computadores da rede deles. Para isso, tudo o que ele teria que fazer seria desabilitar o autorun de uma vez por todas editando o registro do windows em:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer
  • Modificando o valor de NoDriveTypeAutoRun para ff (hexadecimal)

Aliãs, se essa rede estiver relativamente bem instalada o Sr. Administrador de sistemas, não precisará nem sair de sua cadeira para fazer isso.

Se fosse realmente competente, já teria feito o upgrade da rede para alguma das versões do Linux e não teria mais esse tipo de problema há muito, muito tempo. Não que o Linux, por algum tipo de milgare seja imune a vírus mas, por que a estrutura dos sistemas operacionais baseadas em linux permite uma melhor administração de segurança de rede.

O Confincker-D é um variante do Confinker. trata-se de um worm que copia a si mesmo, em forma de dll  para o diretório:

%Program Files%\system32

Não conseguindo, pode se instala em:

%Program Files%\Windows NT
%Program Files%\Windows Media Player
%Program Files%\Internet Explorer
%Program Files%\Movie Maker

Esconde seu nome na lista de processos atrás de um nome de processo conhecido e randomicamente escolhido. E cria uma chave de auto run no registro em

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random number>=”%Temp%\<random number>.exe

Essa variante se espalha via peer2peer com outras máquinas já infectadas com o Confincker-C e causa, perdas de performance, funcionalidade e tenta acessar certos sites para baixar e instalar coisas mais úteis como keyloggers para roubo de senhas.

Agora diz aí, que tipo de administrador de rede você é?

Notícia Original