De vez em quando o "gente boa" do Conficker resolve fazer uma visitinha na rede da minha empresa. Felizmente, nossa solução antivírus consegue conter sua disseminação, mas às vezes (eu disse às vezes), aparece uma Estação de Trabalho sem o anvitírus instalado (ainda estou tentando entender isso).
E basta uma única máquina infectada com o Conficker na rede para começar o caos. Como disse anteriormente, a disseminação não ocorre porque o antivírus impede, mas a Estação de Trabalho infectada começa a tentar quebrar a senha dos usuários de rede por Força Bruta e, devido a política de senha, acaba travando as contas de usuário, o que gera um aumento nas ligações à Equipe de TI solicitando o destravamento das contas. Em resumo, não chega a ser uma m*rda completa, mas já é algo que enche o raio da paciência.
A grande dificuldade seria encontrar a máquina infectada, certo? Errado! Essa tarefa é bem simples: Basta acessar o log Security no Event Viewer de algum Controlador de Domínio, procurar nas "Failure Audit" (Event ID 680) qual é a Source Workstation que está forçando os logins.
No próximo post, vou dar uma dica de como remover o Conficker ou algum outro vírus de forma remota, ou seja, sem precisar ir até a Estação de Trabalho infectada.
Até lá.
Nenhum comentário:
Postar um comentário