Ferramenta pode ajudar na detecção de PCs infectados pelo Conficker

Programado para atacar no dia 1o de abril, pesquisadores descobriram que o Conficker tem uma falha que pode ajudar na detecção do worm por parte das vítimas. Os membros do Honeynet Project, Tillmann Werner e Felix Leder, descobriram que PCs infectados retornam mensagens de erro quando recebem mensagens Remote Procedure Call (RPC). PCs infectados com o Conficker.c, terceira versão do worm, estabelecerão um link com servidores para que os crackers responsáveis pelo malware mandem mais códigos maliciosos. 

"Você pode perguntar a um serviço se está infectado com Conficker, e ele lhe dirá", afirmou Dan Kaminsky, pesquisador de segurança responsável pela falha no Domain Name System, em seu blog.

Após publicada, a tecnologia foi modificada e adicionada a sistemas de detecção corporativos de empresas como McAfee, nCircle e Qualys, que serão atualizados. 

O software de código aberto Nmap também deverá incluir a atualização para apontar uma suposta infecção.

Máquinas infectadas respondem a mensagens RPC de maneira diferente já que o worm, que explora uma falha no Windoww corrigida em outubro pela Microsoft, usa um patch próprio para "fechar a porta" após a infecção.

Resolver uma falha de segurança após explorá-la é uma tática comum entre criminosos para prevenir que outros crackers usem o mesmo caminho para roubar informações.  Por corrigir a falha que explora, o Conficker dificulta a detecção de máquinas infectadas por softwares de segurança. A descoberta de Werner e Leder é uma maneira de indicar se a correção no PC é legítima ou não. O patch aplicado pelo worm, porém, não fecha totalmente a brecha de segurança no Windows, o que faz com que muitos se preocupem que a ferramenta divulgada pelos pesquisadores possa ser usada por criminosos que queiram sequestrar as cerca de 12 milhões de máquinas infectadas com Conficker.

"Não acho que a falha será explorada por qualquer um além dos autores do Conficker", disse ele. "Este é um time esperto, determinado e atualizado".

Werner e Leder publicarão mais informações sobre suas descobertas em um estudo chamado "Know Your Enemy: Containing Conficker -- To Tame a Malware", que será publicado no site da Honeynet Project quando estiver pronto.