Pesquisadores afirmam ter encontrado cura para o Conficker

Pesquisadores que trabalharam durante o final de semana inteiro afirmam que encontraram uma impressão digital para o worm Conficker, esperado para ser ativado no dia 1 de abril. Um scanner como prova do conceito já foi lançado.

Dam Kaminsky, em conjunto com Tillmann Werner e Felix Lede, do Honeynet Project, anunciaram nesta segunda-feira que o trio descobriu um jeito de determinar como uma máquina infectada pode ser identificada em uma rede. O crédito também foi dado a Rich Mogull, da Securosis, e o Conficker Working Group.

"O que encontramos aqui é bem legal: o Conficker na verdade muda como o Windows se parece em uma rede, e essa modificação pode ser detectada remotamente, de forma anônima e muito, muito rápida", anunciou Kaminsky em seu blog nesta segunda-feira. "Você pode literalmente perguntar a um servidor se é infectada pelo Conficker, e ele dirá a você".

O arquivo de assinatura deveria adicionar um degrau mais alto de certeza para administradores de sistema, que irão ser forçados a esperar até o dia 1 de abril para ver (caso aconteça mesmo) o que o Conficker/Downadup vai fazer. Todas as três variantes utilizam um buraco do Windows que foi consertado em outubro último - ou seja, usuários com o sistema atualizado não deveriam ser infectados.

O scanner está disponível, disse Kaminsky, apesar do aplicativo ser destinado mais para profissionais de segurança do que consumidores. Programas e scanners corporativos de antivírus deveriam já estar disponíveis.

"Os detalhes técnicos não são complicados - o Conficker, e todas as suas variantes, fazem um trabalho NetpwPathCanonicalize() de forma um pouco diferente do que qualquer versão MS08-067, com ou sem patch", adicionou Kaminsky. Tanto Werner quanto Lede planejam liberar um estudo chamado "Conheça seu inimigo" em breve, descrevendo o comportamento do worm de forma mais detalhada.

Caso você não queira se garantir nisso, pode conferir nossas sete coisas que você precisa saber sobre o Conficker.