Який найкращий спосіб віддалено знаходити заражені ПК Conficker у мережах компанії?


Відповіді:


5

Остання версія nmapмає можливість виявляти всі (поточні) варіанти Conficker, виявляючи інакше майже непомітні зміни, які черв'як вносить до порту 139 та порту 445 послуг на заражених машинах.

Це (AFAIK) найпростіший спосіб зробити мережеве сканування всієї вашої мережі без відвідування кожної машини.


Якщо ПК має добре налаштований брандмауер, він блокує від 139 і 445 портів, тому він не на 100% ефективний, але більшість машин можна виявити.
Казім'єрас Аліуліс

Якби на ПК був добре налаштований брандмауер, він, ймовірно, не був би заражений в першу чергу ...
Alnitak

Вам слід пам’ятати, що певні частини тестів smb-check-vulns, включені до nmap, можуть призвести до збоїв заражених машин. Яких найкраще уникати у виробничих умовах.
Ден Карлі

поломка заражених машин для мене звучить як виграш :) Однак
аварія

11

Запустіть інструмент видалення шкідливого програмного забезпечення Microsoft . Це автономний двійковий файл, який корисний для видалення поширеного шкідливого програмного забезпечення, і він може допомогти видалити сімейство шкідливих програм Win32 / Conficker.

Ви можете завантажити MSRT з будь-якого з наступних веб-сайтів Microsoft:

Прочитайте цю статтю підтримки Micosoft: Повідомлення про віруси про черв'яка Win32 / Conficker.B

ОНОВЛЕННЯ:

Є ця веб-сторінка, яку ви можете відкрити. Він повинен попереджати, якщо на машині є знак conficker: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Я майже забув згадати цей дуже приємний "візуальний" підхід: Conficker Eye Chart (я не впевнений, чи спрацює він у майбутньому з модифікованою версією вірусу) - я не впевнений, чи все ще працює належним чином (оновлення 06 / 2009):

Якщо ви бачите всі шість зображень в обох рядках верхньої таблиці, ви або не заражені Conficker, або ви можете використовувати проксі-сервер, і в цьому випадку ви не зможете використовувати цей тест для точного визначення, оскільки Conficker не зможе заблокувати перегляд сайтів AV / безпеки.

Мережевий сканер

Безкоштовний сканер для черв’яків EEye:

Черв'як Conficker використовує різноманітні вектори атаки для передачі та отримання корисних навантажень, включаючи: вразливості програмного забезпечення (наприклад, MS08-067), портативні мультимедійні пристрої (наприклад, USB-накопичувачі та жорсткі диски), а також використання слабких можливостей кінцевих точок (наприклад, слабкі паролі на системи з підтримкою мережі). Черв'як Conficker також породжує віддалений доступ на задній план в системі та спробує завантажити додаткове зловмисне програмне забезпечення для подальшого зараження хоста.

Завантажте тут: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

Подивіться також на цей ресурс ("мережевий сканер"): http: //iv.cs.uni-bonn. de / wg / cs / програми / містять-conficker / . Знайдіть "Мережевий сканер" і, якщо ви працюєте з Windows:

Флоріан Рот склав версію Windows, яку можна завантажити з його веб-сайту [пряма посилання на zip-download] .


Я запитав, як виявити ПК у мережі, а не як їх очистити.
Казимира Аліуліс

Інструмент для видалення ВИЗНАЧАЄ їх. Як хороший побічний ефект, він очищає їх ... ;-)
splattne

Ах, ти маєш на увазі ЗАМОВЛЕННЯ? вибачте. Тепер я розумію.
splattne

Якщо ПК має добре налаштований брандмауер, він блокує 139 і 445 порти, тож він не на 100% ефективний, але більшість машин можна виявити. Сумно, що підписи виявлення вторгнень є лише для версій A і B. Перевірка домену частково також є життєздатним рішенням.
Казімір Аліуліс

4

Існує інструмент Python під назвою SCS, який можна запустити зі своєї робочої станції, і знайти його можна тут: http://iv.cs.uni-bonn.de/wg/cs/applications/contain-conficker/

Це іде таким чином на моїй робочій станції:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.

Це приємний сценарій!
Казімір Аліуліс


1

OpenDNS попередить ПК, які вважає зараженими. Хоча, як сказав splattne, MSRT, швидше за все, найкращий варіант.


Політика компанії не дозволяє використовувати OpenDNS, вона повинна бути домашнім рішенням.
Казімір Аліуліс

0

Зараз ми їх знаходимо, помічаючи, які машини перелічені у журналах подій інших машин за порушення політики LSA. Зокрема, у джерелі журналу подій Помилка LsaSrv 6033. Машина, яка робить анонімні сеансові з'єднання, які відхиляються, заражена конфікер.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.