Qual è il modo migliore per trovare in remoto i PC infetti da Conficker nelle reti aziendali / ISP?
Qual è il modo migliore per trovare in remoto i PC infetti da Conficker nelle reti aziendali / ISP?
Risposte:
L'ultima versione di nmap
ha la capacità di rilevare tutte le (attuali) varianti di Conficker rilevando le modifiche altrimenti quasi invisibili che il worm apporta ai servizi porta 139 e porta 445 su macchine infette.
Questo è (AFAIK) il modo più semplice per eseguire una scansione basata su rete dell'intera rete senza visitare ogni macchina.
Esegui lo strumento di rimozione malware per Microsoft . È un file binario autonomo utile nella rimozione di software dannoso prevalente e può aiutare a rimuovere la famiglia di malware Win32 / Conficker.
È possibile scaricare MSRT da uno dei seguenti siti Web Microsoft:
Leggi questo articolo di supporto di Micosoft: avviso di virus sul worm Win32 / Conficker.B
AGGIORNARE:
C'è questa pagina web che potresti aprire. Dovrebbe dare un avviso se c'è un segno di conficker sulla macchina: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
Ho quasi dimenticato di menzionare questo approccio "visivo" molto carino: Conficker Eye Chart (non sono sicuro che funzionerà in futuro con la versione modificata del virus) - Non sono sicuro che funzioni ancora correttamente (aggiornamento 06 / 2009):
Se riesci a vedere tutte e sei le immagini in entrambe le righe della tabella superiore, non sei infetto da Conficker o potresti utilizzare un server proxy, nel qual caso non sarai in grado di utilizzare questo test per effettuare una determinazione accurata, poiché Conficker non sarà in grado di impedirti di visualizzare i siti AV / di sicurezza.
Network Scanner
Scanner di rete Worm Conficker gratuito di eEye:
Il worm Conficker utilizza una varietà di vettori di attacco per trasmettere e ricevere payload, tra cui: vulnerabilità del software (ad esempio MS08-067), dispositivi multimediali portatili (ad esempio chiavette USB e dischi rigidi), nonché sfruttando le debolezze degli endpoint (ad esempio password deboli su sistemi abilitati alla rete). Il worm Conficker genererà anche backdoor di accesso remoto sul sistema e tenterà di scaricare malware aggiuntivo per infettare ulteriormente l'host.
Scarica qui: http://www.eeye.com/html/downloads/other/ConfickerScanner.html
Guarda anche questa risorsa ("scanner di rete"): http: //iv.cs.uni-bonn. de / wg / cs / applicazioni / contenente-conficker / . Cerca "Network Scanner" e, se usi Windows:
Florian Roth ha compilato una versione di Windows che è disponibile per il download dal suo sito Web [collegamento diretto al download zip] .
Esiste uno strumento Python chiamato SCS che puoi avviare dalla tua workstation e puoi trovarlo qui: http://iv.cs.uni-bonn.de/wg/cs/applications/contain-conficker/
Va così sulla mia workstation:
Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>
andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80
----------------------------------
Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------
No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
Questa pagina contiene molte risorse utili, tra cui un rapido riepilogo visivo per sapere se sei infetto ...
OpenDNS avviserà dei PC che ritiene siano infetti. Anche se come ha detto splattne, MSRT è probabilmente l'opzione migliore.
Attualmente li stiamo rilevando notando quali macchine sono elencate nei registri eventi di altre macchine per violazioni delle norme LSA. In particolare nel registro eventi Errore LsaSrv di origine 6033. La macchina che effettua le connessioni di sessione anonime che vengono negate sono infette da conficker.