Especialistas em segurança identificaram uma falha na praga Conficker que facilita sua detecção em computadores. O worm de rede que já infectou milhões de PCs ao redor do mundo retorna alertas de erro quando recebe mensagens pelo protocolo Remote Procedure Call (RPC).

Segundo ao Computerworld, PCs infectados com o Conficker.c, terceira versão do worm, estabelecerão conexão com servidores para receber mais códigos maliciosos em 1º de abril.

Para evitar a nova contaminação, os pesquisadores de segurança adicionaram a tecnologia de detecção a sistemas corporativos de empresas como McAfee, nCircle e Qualys, que serão atualizados, além do código aberto Nmap.

A resposta diferente a mensagens RPC ocorre porque o worm, que explora uma falha no Windows corrigida em outubro pela Microsoft, usa um patch próprio para fechar a porta após a infecção, procurando dificultar a detecção por softwares de segurança. A descoberta é uma maneira de indicar se a correção no PC é legítima ou não.

Conforme a Computerworld, o patch aplicado pelo worm, porém, não fecha totalmente a brecha de segurança, o que faz com que muitos se preocupem que a ferramenta divulgada pelos pesquisadores possa ser usada por criminosos que queiram sequestrar as cerca de 12 milhões de máquinas infectadas com Conficker.

– Não acho que a falha será explorada por qualquer um além dos autores do Conficker – disse um dos pesquisadores que descobriram a falha.

Mais informações sobre a descoberta estão em um estudo chamado Know Your Enemy: Containing Conficker -- To Tame a Malware, no site da Honeynet Project, quando estiver pronto. No Brasil há uma série de parceiros do projeto (acesse o mapa aqui).

A descoberta é dos membros do Honeynet Project, Tillmann Werner e Felix Leder.