Apenas poucos dias antes de o Conficker entrar em contato com seus criadores para receber novas instruções, pesquisadores de segurança descobriram uma falha no worm que torna muito mais fácil a detecção de PCs infectados.
Tillmann Werner e Felix Leder, membros do Honeynet Project, uma organização mantida por voluntários que monitora as ameaças na Internet, descobriram que PCs infectados pelo Conficker retornam erros incomuns quando recebem mensagens Remote Procedure Call (RPC) especialmente criadas, de acordo com informações preliminares publicadas na web.
Diagrama de infecção do Conficker
(clique na imagem para ampliá-la)
Usando esta descoberta, Werner e Leder, junto com Dan Kaminsky (que descobriu a falha crítica no Domain Name System (DNS)), passaram o último final de semana desenvolvendo um scanner que permite que os usuários procurem facilmente por máquinas infectadas pelo worm. "Você literalmente pode perguntar para um servidor se ele foi infectado, e ele responderá", disse Kaminsky em seu blog nesta segunda-feira.
O scanner já foi modificado e adicionado em sistemas de detecção corporativos de empresas como a McAfee Inc., nCircle Inc. e a Qualys Inc., que planejam lançar atualizações ainda hoje.
Uma versão atualizada do gratuito Nmap também incluirá a nova capacidade de detecção.
Mais informações
Alguns tópicos na Área de Segurança do Fórum do BABOO:
Kits de Segurança Free
Updates diários para Softwares de Segurança
Lista de AntiSpywares Suspeitos
Lista atualizada de Programas que contém Malware
