Entrar em contato
Abrir chamado de suporte
 
tecnoAtiva
  Início
  Empresa
  Portfólio
  Parceiros
  Clientes
Suporte
   
   
   
   
   
 
   
   
   
   
   
   
   
 


Plano de ação para conter infecções do Worm  Downad ou Conficker


       
O problema     O Worm Downad / Conficker é o mais recente desafio do gerenciamento de códigos maliciosos. Como ele utiliza técnicas sofisticadas de hacking, explorando vulnerabilidades Microsoft e computadores com senhas fracas, O processo de desinfecção desse Worm é complexo e requer um plano de ação com quatro frentes de trabalho. Essas quatro frentes de trabalho podem ser abordadas simultaneamente, e todas elas devem ser executadas. 
       
Plano de ação    
1. Aplicar a solução Microsoft
   
            a. Bloquear novas infecções do Downad através de GPO conforme artigo http://support.microsoft.com/kb/962007/en-us 
   
            b. Realizar o deploy da ferramenta Malicious Software Removal Tool conforme artigo http://support.microsoft.com/kb/891716/en-us via GPO (computer startup ou user logon)
       
2. Senhas fortes
       
  a. É necessário garantir que todas as senhas com privilégio de administrador no domínio tenha senhas fortes.
       
              i. Execute o MBSA da Microsoft em toda a sua faixa de IPs (http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=f32921af-9dbe-4dce-889e-ecf997eb18e9). Configure para ele verificar os patches Microsoft direto no Windows Update, e não no WSUS. Isso vai verificar senhas fracas e aplicação de patches em todos os computadores da sua rede.
       
    ii. No relatório gerado pelo MBSA, verifique quais senhas são fracas. Mude para senhas com 7 caracteres, misturando letras, números e caracteres especiais.
       
  b. É necessário garantir que todas as estações do domínio tenham senhas fortes nas contas locais de administrador.
       
    i. O relatório do MBSA acima deve mostrar também todas as máquinas com senhas locais fracas. Realize a mesma alteração
       
    ii. Para ajudar na alteração em lote de senhas locais das estações,use a ferramenta PSPASSWD do Sysinternals: http://technet.microsoft.com/en-us/sysinternals/bb897543.aspx 
       
3. Patches Microsoft  
       
  a. Precisamos garantir que os patches Microsoft estão instalados em todos os computadores do domínio.
       
    i. O relatório do MBSA vai dar uma visão dos patches que precisam ser implementados.  
       
  b. Recomendamos fortemente que você instale todas as atualizações de segurança da Microsoft. Isso porque outros códigos maliciosos ou RootKits podem impedir a remoção do Downad. Mas caso isso não seja possível, garanta que pelo menos o patch http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx seja aplicado. Mas insistimos que a atualização de todos os patches é recomendada.
       
4. OSCE 8
       
  a. Precisamos garantir que o OSCE está atualizado, patterns e patches.
       
    i. O VSAPI (Scan Engine)  do OSC 7.3 deve ser no mínimo 8.913
       
    ii. O VSAPI (Scan Engine) do OSCE 8.0 deve ser no mínimo o 8.911  
       
    iii. O pattern deve estar na última versão (você pode verificar qual a versão mais atual no endereço http://itw.trendmicro.com/trend_tracker.php)  
       
    iv. O DCE deve ser no mínimo 6.0.1172  
       
    v. O DCT deve ser a última versão  
       
    vi. O pattern de firewall deve ser no mínimo 10274  
       
    vii. O build do produto OSCE 8.0 deve ser no mínimo 3113 (na console, Help, About)  
       
  b. O firewall e IDS do OSCE 8 devem estar ativados.
       
  c. Realize um Scan Manual na estação ou Scan Now.
       
  d. REINICIE A ESTAÇÃO
       

 
  Av. Antônio Carlos Magalhães, 3259/101 Iguatemi
CEP: 40.280-000 Salvador - Bahia - Brasil

Telefone IP Cisco: (71) 210-TECNO (2108-3266)
atendimento@tecnoativa.com.br