O incrível número de infecções pelo WORM_DOWNAD.AD o tornariam uma das mais memoráveis e destrutivas epidemias de worms em uma época em que o malware é, em sua grande parte, criado visando lucros. As principais causas deste surto contínuo são o mau gerenciamento de atualizações, o uso de senhas fracas e suas próprias rotinas de propagação.
Figura 1. As infecções pelo WORM_DOWNAD.AD são uma preocupação mundial.
A região da América do Norte tem o maior número de PCs infectados, e os usuários dos EUA são os mais atingidos. Japão, China e Taiwan também são países muito afetados pelo DOWNAD. Na Europa, Itália e Espanha registram o maior número de infecções.
Quando os usuários são infectados pelo WORM_DOWNAD.AD, eles observam os seguintes sintomas:
* Acesso bloqueado a sites relacionados a antivírus
* Desativação de serviços como o Windows Automatic Update Service
* Alto tráfego na porta 445 do sistema afetado
* Arquivos ocultos mesmo após mudança nas Opções da Pasta
* Incapacidade de efetuar login usando as credenciais do Windows porque elas estão bloqueadas
Um arquivo .DLL com nomes aleatórios de arquivos e um autorun.inf também aparecem em todas as unidades mapeadas e nas pastas Internet Explorer e Movie Maker no diretório Arquivos de Programa.
O worm bloqueia sua cópia para evitar que os usuários leiam, gravem ou excluam o arquivo malicioso.
Ele também realiza diversas alterações no registro para permitir várias conexões simultâneas de rede. Ao infectar novamente as máquinas, esse worm consegue manter suas atividades maliciosas em andamento. Uma das razões principais de seu sucesso na difusão global (os detalhes foram descritos em nosso último post Política de Segurança Para Iniciantes) é sua múltipla propagação de rotinas: Ele se difunde explorando uma vulnerabilidade do SO Microsoft, por meio de compartilhamentos de rede ou de unidades removíveis ou de rede.
Figura 2. Diagrama de infecção do WORM_DOWNAD.AD.
Uma variante anterior do DOWNAD também causou destruição entre os usuários on-line. Explorando a mesma vulnerabilidade do sistema operacional, o WORM_DOWNAD.A infectou mais de 500.000 hosts únicos pelo mundo. Essa ameaça de infecção foi seguida o pelo desligamento do gigante de spam McColo, com evidências de que os criminosos virtuais estavam usando worms para desenvolver uma nova botnet.
Ambas as variantes dessa família de worms também exibiam as seguintes rotinas:
* Conexão à determinados sites legítimos para recuperar dados
* Criação de URLs depois de certos critérios de dados terem sido obtidos, os quais o worm calcula de determinadas strings nas URLs legítimas mencionadas
* Adição de extensões .biz, .info, .org, .net ou .com às URLs criadas
Duas das ações mais importantes necessárias para a redução do risco de infecção, a propagação desta ou o surgimento de uma nova com atualizações das variantes seriam atualizar os sistemas e programas tão logo as correções estejam disponíveis e desativar a função executar automaticamente.
As instruções de limpeza e detalhes técnicos podem ser acompanhadas na Enciclopédia de Vírus da Trend Micro.
Fonte: Centro de Conhecimento Trend Micro