Jaki jest najlepszy sposób na zdalne wykrycie zainfekowanych komputerów Conficker w sieci firmowej / ISP?
Jaki jest najlepszy sposób na zdalne wykrycie zainfekowanych komputerów Conficker w sieci firmowej / ISP?
Odpowiedzi:
Najnowsza wersja nmap
ma możliwość wykrycia wszystkich (bieżących) wariantów Confickera poprzez wykrycie prawie niewidocznych zmian, które robak wprowadza do usług portu 139 i portu 445 na zainfekowanych komputerach.
Jest to (AFAIK) najprostszy sposób na skanowanie całej sieci w oparciu o sieć bez konieczności odwiedzania każdego komputera.
Uruchom narzędzie Microsoft do usuwania złośliwego oprogramowania . Jest to samodzielny plik binarny, który jest przydatny w usuwaniu rozpowszechnionego złośliwego oprogramowania i może pomóc usunąć rodzinę złośliwego oprogramowania Win32 / Conficker.
Możesz pobrać MSRT z jednej z następujących witryn internetowych Microsoft:
Przeczytaj ten artykuł pomocy technicznej Micosoft: Ostrzeżenie o wirusach dotyczące robaka Win32 / Conficker.B
AKTUALIZACJA:
Jest ta strona internetowa, którą możesz otworzyć. Powinien dawać ostrzeżenie, jeśli na urządzeniu pojawi się znak konficker: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
Prawie zapomniałem wspomnieć o tym bardzo przyjemnym „wizualnym” podejściu: Conficker Eye Chart (nie jestem pewien, czy będzie działać w przyszłości ze zmodyfikowaną wersją wirusa) - nie jestem pewien, czy nadal działa poprawnie (aktualizacja 06 / 2009):
Jeśli widzisz wszystkie sześć obrazów w obu rzędach górnego stołu, oznacza to, że nie jesteś zarażony przez Confickera lub korzystasz z serwera proxy, w którym to przypadku nie będziesz mógł użyć tego testu do dokładnego ustalenia, ponieważ Conficker nie będzie mógł zablokować ci dostępu do stron AV / bezpieczeństwa.
Skaner sieciowy
Darmowy skaner roboczy Conficker Worm firmy eEye:
Robak Conficker wykorzystuje różne wektory ataku do przesyłania i odbierania ładunków, w tym: luki w oprogramowaniu (np. MS08-067), przenośne urządzenia multimedialne (np. Dyski USB i dyski twarde), a także wykorzystując słabości punktów końcowych (np. Słabe hasła na systemy sieciowe). Robak Conficker odrodzi również zdalne dostęp do backdoora w systemie i spróbuje pobrać dodatkowe złośliwe oprogramowanie w celu dalszego zainfekowania hosta.
Pobierz tutaj: http://www.eeye.com/html/downloads/other/ConfickerScanner.html
Spójrz także na ten zasób („skaner sieciowy”): http: //iv.cs.uni-bonn. de / wg / cs / applications / zawierający-konficker / . Wyszukaj „Skaner sieciowy”, a jeśli używasz systemu Windows:
Florian Roth skompilował wersję Windows, którą można pobrać z jego strony internetowej [bezpośredni link do pliku zip] .
Istnieje narzędzie Python o nazwie SCS, które można uruchomić ze stacji roboczej, i można je znaleźć tutaj: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/
Tak dzieje się na mojej stacji roboczej:
Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>
andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80
----------------------------------
Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------
No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
Ta strona zawiera wiele przydatnych zasobów, w tym szybkie wizualne podsumowanie tego, czy jesteś zainfekowany ...
OpenDNS ostrzega przed komputerami, które mogą być zainfekowane. Chociaż, jak powiedział splattne, MSRT jest najprawdopodobniej najlepszą opcją.
Obecnie znajdujemy je, zauważając, które maszyny są wymienione w dziennikach zdarzeń innych komputerów z powodu naruszenia zasad LSA. W szczególności w dzienniku zdarzeń Źródło LsaSrv błąd 6033. Komputer nawiązujący anonimowe połączenia sesji, które są odrzucane, jest zainfekowany przez conficker.