Який найкращий спосіб дистанційно знайти ПК, заражених Conficker, в мережах компаній / провайдерів?
Який найкращий спосіб дистанційно знайти ПК, заражених Conficker, в мережах компаній / провайдерів?
Відповіді:
Остання версія nmap
має можливість виявляти всі (поточні) варіанти Conficker, виявляючи інакше майже непомітні зміни, які черв'як вносить до порту 139 та порту 445 послуг на заражених машинах.
Це (AFAIK) найпростіший спосіб зробити мережеве сканування всієї вашої мережі без відвідування кожної машини.
Запустіть інструмент видалення шкідливого програмного забезпечення Microsoft . Це автономний двійковий файл, який корисний для видалення поширеного шкідливого програмного забезпечення, і він може допомогти видалити сімейство шкідливих програм Win32 / Conficker.
Ви можете завантажити MSRT з будь-якого з наступних веб-сайтів Microsoft:
Прочитайте цю статтю підтримки Micosoft: Повідомлення про віруси про черв'яка Win32 / Conficker.B
ОНОВЛЕННЯ:
Є ця веб-сторінка, яку ви можете відкрити. Він повинен попереджати, якщо на машині є знак conficker: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
Я майже забув згадати цей дуже приємний "візуальний" підхід: Conficker Eye Chart (я не впевнений, чи спрацює він у майбутньому з модифікованою версією вірусу) - я не впевнений, чи все ще працює належним чином (оновлення 06 / 2009):
Якщо ви бачите всі шість зображень в обох рядках верхньої таблиці, ви або не заражені Conficker, або ви можете використовувати проксі-сервер, і в цьому випадку ви не зможете використовувати цей тест для точного визначення, оскільки Conficker не зможе заблокувати перегляд сайтів AV / безпеки.
Мережевий сканер
Безкоштовний сканер для черв’яків EEye:
Черв'як Conficker використовує різноманітні вектори атаки для передачі та отримання корисних навантажень, включаючи: вразливості програмного забезпечення (наприклад, MS08-067), портативні мультимедійні пристрої (наприклад, USB-накопичувачі та жорсткі диски), а також використання слабких можливостей кінцевих точок (наприклад, слабкі паролі на системи з підтримкою мережі). Черв'як Conficker також породжує віддалений доступ на задній план в системі та спробує завантажити додаткове зловмисне програмне забезпечення для подальшого зараження хоста.
Завантажте тут: http://www.eeye.com/html/downloads/other/ConfickerScanner.html
Подивіться також на цей ресурс ("мережевий сканер"): http: //iv.cs.uni-bonn. de / wg / cs / програми / містять-conficker / . Знайдіть "Мережевий сканер" і, якщо ви працюєте з Windows:
Флоріан Рот склав версію Windows, яку можна завантажити з його веб-сайту [пряма посилання на zip-download] .
Існує інструмент Python під назвою SCS, який можна запустити зі своєї робочої станції, і знайти його можна тут: http://iv.cs.uni-bonn.de/wg/cs/applications/contain-conficker/
Це іде таким чином на моїй робочій станції:
Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>
andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80
----------------------------------
Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------
No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
На цій сторінці є безліч корисних ресурсів, зокрема короткий візуальний підсумок того, чи заражений ви ...
OpenDNS попередить ПК, які вважає зараженими. Хоча, як сказав splattne, MSRT, швидше за все, найкращий варіант.
Зараз ми їх знаходимо, помічаючи, які машини перелічені у журналах подій інших машин за порушення політики LSA. Зокрема, у джерелі журналу подій Помилка LsaSrv 6033. Машина, яка робить анонімні сеансові з'єднання, які відхиляються, заражена конфікер.