it-swarm-pt.tech

Qual é a melhor maneira de localizar PCs infectados pelo Conficker nas redes da empresa remotamente?

Qual é a melhor maneira remota de localizar PCs infectados com Conficker em redes de empresas/ISP?

10
Kazimieras Aliulis

A última versão do nmap tem a capacidade de detectar todas as variantes (atuais) do Conficker, detectando as alterações quase invisíveis que o worm faz nos serviços da porta 139 e da porta 445 nos infectados máquinas.

Esta é (AFAIK) a maneira mais fácil de fazer uma varredura baseada na rede de toda a sua rede sem visitar cada máquina.

5
Alnitak

Execute a ferramenta de Remoção de Software Malicioso da Microsoft . É um binário autônomo útil na remoção de softwares mal-intencionados predominantes e pode ajudar a remover a família de malware Win32/Conficker.

Você pode baixar a MSRT de um dos seguintes sites da Microsoft:

Leia este artigo de suporte da Micosoft: Alerta de vírus sobre o worm Win32/Conficker.B

ATUALIZAÇÃO:

Existe esta página da web que você pode abrir. Deve dar um aviso se houver um sinal de conficker na máquina: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Quase esqueci de mencionar essa abordagem "visual" muito agradável: Conficker Eye Chart (Não tenho certeza se funcionará no futuro com a versão modificada do vírus) - Não tenho certeza se ainda funciona corretamente (atualização 06/2009):

Se você puder ver todas as seis imagens em ambas as linhas da tabela superior, você não está infectado pelo Conficker ou pode estar usando um servidor proxy, caso em que não será capaz de usar este teste para fazer uma determinação precisa, já que o Conficker não será capaz de bloquear você de ver os sites AV/segurança.

Scanner de rede

scanner de rede worm Conficker gratuito da eEye:

O worm Conficker utiliza uma variedade de vetores de ataque para transmitir e receber cargas úteis, incluindo: vulnerabilidades de software (por exemplo, MS08-067), dispositivos de mídia portáteis (por exemplo, pen drives USB e discos rígidos), bem como aproveitar pontos fracos de endpoint (por exemplo, senhas fracas em sistemas habilitados para rede). O worm Conficker também cria backdoors de acesso remoto no sistema e tenta baixar malware adicional para infectar ainda mais o Host.

Baixe aqui: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

Veja também este recurso ("scanner de rede"): http: //iv.cs.uni-bonn. De/wg/cs/applications/contain-conficker / . Procure por "Scanner de rede" e, se estiver executando o Windows:

Florian Roth compilou uma versão do Windows que está disponível para download em seu site [link direto para download Zip].

11
splattne

Existe uma ferramenta Python chamada SCS que você pode iniciar de sua estação de trabalho, e você pode encontrá-la aqui: http://iv.cs.uni-bonn.de/wg/cs/applications/contain-conficker /

É assim na minha estação de trabalho:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

[email protected]:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
4
Andor

Esta página possui muitos recursos úteis, incluindo um rápido resumo visual se você está infectado ...

http://www.confickerworkinggroup.org/wiki/

3
cagcowboy

O OpenDNS avisará sobre PCs que acredita estar infectados. Embora, como disse Splattne, a MSRT seja provavelmente a melhor opção.

1
Adam Gibbins

No momento, estamos encontrando-os observando quais máquinas estão listadas nos logs de eventos de outras máquinas para violações da política LSA. Especificamente no log de eventos Fonte LsaSrv erro 6033. A máquina que faz as conexões de sessão anônima que estão sendo negadas está infectada pelo conficker.

0
Laura Thomas