Remoção do Conficker.B com o MSRT

  • Article

Junto com o boletim de segurança crítico divulgado ontem para o Windows, a Microsoft também divulgou uma nova versão do Malicious Software Removal Tool (MSRT),  uma ferramenta gratuita que detecta e elimina os tipos de malware mais comuns. Nesta versão foram acrescentadas dois novos tipos de malware, de especial importância para usuários brasileiros:

¦ Win32/BanLoad, um trojan downloader que é usado para roubar credenciais de bancos e outras informações sensíveis.

¦ Win32/Conficker (também conhecido como Win32/Downadup), incluindo a variante Win32/Conficker.B. O Conficker é um worm que se propaga explorando a vulnerabilidade MS08-067 e compartilhamentos de rede protegidos com senhas fracas.

O MSRT é executado automaticamente durante a atualização do Windows Update, e também é distribuído para os clientes corporativos que utilizam o Windows Server Update Services (WSUS). No entanto o Conficker desabilita o agente de Atualização Automática do Windows, bem como o mecanismo de atualização dos antivírus mais populares, e é provável que os sistemas infectados não recebam a ferramenta MSRT de forma automática.

Caso você suspeite estar infectado, você pode fazer o download do MSRT no site da Microsoft e executar a ferramenta manualmente, ou em ambientes corporativos configurar um script para executar automaticamente durante o logon do usuário ou o startup do sistema.  O artigo 891716 fornece orientações sobre como executar a ferramenta MSRT em um ambiente corporativo, incluindo o seguinte exemplo de script:

REM Neste exemplo, o script é denominado RunMRT.cmd.
REM O utilitário Sleep.exe é usado para atrasar a execução da ferramenta
REM quando usada em um script de startup. Consulte a seção
REM "Problemas conhecidos" para obter mais detalhes.
@echo off
call \\NomeDoServidor\NomeDoCompartilhamento\Sleep.exe 5
Start /wait \\Servidor\Compartilhamento\Windows-KB890830-V2.5.exe /q

copy %windir%\debug\mrt.log \\Servidor\Compartilhamento\Logs\%computername%.log

Este script irá executar a ferramenta MSRT e depois copiar o log de execução para um compartilhamento na rede. Note que no caso de script de logon o usuário deve ter privilégios administrativos no sistema para rodar com sucesso a ferramenta MSRT.