Как лучше всего удаленно найти зараженные Conficker компьютеры в сетях компании?

10

Как лучше всего удаленно обнаружить зараженные Conficker ПК в сетях компаний / Интернет-провайдеров?

networking security malware Казимирас Алиулис
источник

Ответы:

5

Последняя версия nmapимеет возможность обнаруживать все (текущие) варианты Conficker, обнаруживая почти невидимые изменения, которые червь вносит в службы порта 139 и 445 на зараженных машинах.

Это (AFAIK) самый простой способ выполнить сканирование всей сети по сети, не посещая каждую машину.

Альнитак
источник
Если компьютер имеет хорошо настроенный брандмауэр, он блокирует 139 и 445 портов, поэтому он не эффективен на 100%, но большинство машин могут быть обнаружены.
Казимирас Алиулис
Если бы у ПК был хорошо настроенный брандмауэр, он, вероятно, не был бы заражен в первую очередь ...
Alnitak
Вы должны знать, что некоторые части тестов smb-check-vulns, включенные в nmap, могут привести к сбою зараженных компьютеров. Чего лучше всего избегать в производственной среде.
Дэн Карли
для меня сбой зараженных машин звучит как победа :) А разбивать незараженные машины было бы очень плохо, хотя ...
Alnitak
11

Запустите средство удаления вредоносных программ Microsoft . Это автономный двоичный файл, который полезен для удаления распространенного вредоносного программного обеспечения и может помочь удалить семейство вредоносных программ Win32 / Conficker.

Вы можете загрузить MSRT с любого из следующих веб-сайтов Microsoft:

Прочитайте эту статью поддержки Micosoft: Вирусное оповещение о черве Win32 / Conficker.B

ОБНОВИТЬ:

Это веб-страница, которую вы можете открыть. Должно быть выдано предупреждение, если на машине есть признак замешательства: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Я почти забыл упомянуть об этом очень хорошем «визуальном» подходе: Conficker Eye Chart (я не уверен, будет ли он работать в будущем с модифицированной версией вируса) - я не уверен, что он все еще работает должным образом (обновление 06 / 2009):

Если вы видите все шесть изображений в обеих строках верхней таблицы, вы либо не заражены Conficker, либо вы используете прокси-сервер, и в этом случае вы не сможете использовать этот тест для точного определения, так как Conficker не сможет заблокировать вас от просмотра сайтов AV / безопасности.

Сетевой сканер

Бесплатный сетевой червь Conficker червя eEye:

Червь Conficker использует различные векторы атак для передачи и получения полезных нагрузок, в том числе: уязвимости программного обеспечения (например, MS08-067), портативные мультимедийные устройства (например, флэш-накопители USB и жесткие диски), а также использование слабых мест конечной точки (например, слабые пароли на сетевые системы). Червь Conficker также создает бэкдоры удаленного доступа в системе и пытается загрузить дополнительные вредоносные программы для дальнейшего заражения хоста.

Загрузить здесь: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

Посмотрите также на этот ресурс («сетевой сканер»): http: //iv.cs.uni-bonn. de / wg / cs / Applications / содержит-Conficker / . Ищите «Сетевой сканер» и, если вы используете Windows:

Флориан Рот скомпилировал версию для Windows, которую можно скачать с его сайта [прямая ссылка на zip-download] .

splattne
источник
Я спросил, как обнаружить компьютеры в сети, а не как их очистить.
Казимирас Алиулис
Средство удаления обнаруживает их. Как хороший побочный эффект, он очищает их ... ;-)
splattne
Ах, вы имеете в виду УДАЛЕННО? простите. Теперь я понимаю.
splattne
Если компьютер имеет хорошо настроенный брандмауэр, он блокирует 139 и 445 портов, поэтому он не эффективен на 100%, но большинство машин могут быть обнаружены. Печально, что сигнатуры для обнаружения вторжений предназначены только для версий A и B. Проверка домена также частично является жизнеспособным решением.
Казимирас Алиулис
4

Существует инструмент Python под названием SCS, который вы можете запустить с рабочей станции, и вы можете найти его здесь: http://iv.cs.uni-bonn.de/wg/cs/applications/conisting-conficker/

Вот так на моей рабочей станции:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
Андор
источник
Это хороший сценарий!
Казимирас Алиулис
1

OpenDNS будет предупреждать о компьютерах, которые он считает зараженными. Хотя, как сказал Сплаттне, MSRT, скорее всего, лучший вариант.

Адам Гиббинс
источник
Политика компании не позволяет использовать OpenDNS, это должно быть домашнее решение.
Казимирас Алиулис
0

В настоящее время мы находим их, замечая, какие машины перечислены в журналах событий других машин для нарушений политики LSA. В частности, в журнале событий источника LsaSrv ошибка 6033. Компьютер, создающий анонимные сеансовые соединения, которые отклоняются, заражен conficker.

Лаура Томас
источник