Apa cara terbaik untuk menemukan PC yang terinfeksi Conficker di jaringan perusahaan dari jarak jauh?

10

Apa cara terbaik untuk menemukan PC yang terinfeksi Conficker di jaringan perusahaan / ISP?

networking security malware Kazimieras Aliulis
sumber

Jawaban:

5

Versi terbaru dari nmapmemiliki kemampuan untuk mendeteksi semua varian (saat ini) dari Conficker dengan mendeteksi perubahan yang hampir tidak terlihat yang dibuat oleh worm ke port 139 dan port 445 layanan pada mesin yang terinfeksi.

Ini adalah (AFAIK) cara termudah untuk melakukan pemindaian berbasis jaringan dari seluruh jaringan Anda tanpa mengunjungi setiap mesin.

Alnitak
sumber
Jika pc memiliki firewall yang dikonfigurasi dengan baik, ia akan memblokir dari 139 dan 445 port, sehingga tidak 100% efektif, tetapi sebagian besar mesin dapat dideteksi.
Kazimieras Aliulis
Jika PC telah baik dikonfigurasi firewall mungkin tidak akan terinfeksi di tempat pertama ...
Alnitak
Anda harus menyadari bahwa bagian-bagian tertentu dari tes smb-check-vulns yang termasuk dalam nmap dapat menyebabkan crash mesin yang terinfeksi. Yang paling baik dihindari dalam lingkungan produksi.
Dan Carley
Menabrak mesin yang terinfeksi kedengarannya seperti kemenangan, bagi saya :) Menghancurkan mesin yang tidak terinfeksi akan sangat buruk, meskipun ...
Alnitak
11

Jalankan alat Penghapusan Perangkat Lunak Berbahaya Microsoft . Ini adalah biner yang berdiri sendiri yang berguna dalam menghapus perangkat lunak berbahaya yang lazim, dan dapat membantu menghapus keluarga malware Win32 / Conficker.

Anda dapat mengunduh MSRT dari salah satu situs Web Microsoft berikut:

Baca artikel dukungan Micosoft ini: Peringatan virus tentang worm Win32 / Conficker.B

MEMPERBARUI:

Ada halaman web ini yang bisa Anda buka. Seharusnya memberi peringatan jika ada tanda conficker pada mesin: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Saya hampir lupa menyebutkan pendekatan "visual" yang sangat bagus ini: Conficker Eye Chart (Saya tidak yakin apakah ini akan berhasil di masa depan dengan versi modifikasi virus) - Saya tidak yakin apakah masih berfungsi dengan baik (pembaruan 06 / 2009):

Jika Anda dapat melihat semua enam gambar di kedua baris tabel atas, Anda tidak terinfeksi oleh Conficker, atau Anda mungkin menggunakan server proxy, dalam hal ini Anda tidak akan dapat menggunakan tes ini untuk membuat penentuan yang akurat, karena Conficker tidak akan dapat memblokir Anda dari melihat situs AV / keamanan.

Pemindai Jaringan

Scanner Jaringan Cacing Conficker Gratis eEye:

Cacing Conficker menggunakan berbagai vektor serangan untuk mengirim dan menerima muatan, termasuk: kerentanan perangkat lunak (mis. MS08-067), perangkat media portabel (mis. USB thumb drive dan hard drive), serta memanfaatkan kelemahan titik akhir (mis. Password lemah pada sistem yang mendukung jaringan). Cacing Conficker juga akan menelurkan backdoor akses jarak jauh pada sistem dan berusaha mengunduh malware tambahan untuk lebih menginfeksi host.

Unduh di sini: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

Lihat juga sumber ini ("pemindai jaringan"): http: //iv.cs.uni-bonn. de / wg / cs / aplikasi / mengandung-conficker / . Cari "Network Scanner" dan, jika Anda menggunakan Windows:

Florian Roth telah menyusun versi Windows yang tersedia untuk diunduh dari situs webnya [tautan langsung ke pengunduhan zip] .

percikan
sumber
Saya bertanya bagaimana mendeteksi PC dalam jaringan, bukan bagaimana menghapusnya.
Kazimieras Aliulis
Alat Penghapus TIDAK MENCETAKKAN mereka. Sebagai bagus efek samping, itu membersihkan mereka ... ;-)
splattne
Ah, maksudmu dengan REMOTELY? Maaf. Sekarang saya mengerti.
splattne
Jika pc memiliki firewall yang dikonfigurasi dengan baik, ia akan memblokir 139 dan 445 port, sehingga tidak 100% efektif, tetapi sebagian besar mesin dapat dideteksi. Sedih, tanda tangan deteksi intrusi hanya untuk versi A dan B. Pengecekan domain juga merupakan solusi yang layak.
Kazimieras Aliulis
4

Ada alat Python bernama SCS yang dapat Anda luncurkan dari workstation Anda, dan Anda dapat menemukannya di sini: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Begini di workstation saya:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
Andor
sumber
Script yang bagus!
Kazimieras Aliulis
1

OpenDNS akan memperingatkan PC yang dianggap terinfeksi. Meskipun seperti kata splattne, MSRT kemungkinan besar merupakan pilihan terbaik.

Adam Gibbins
sumber
Kebijakan perusahaan tidak mengizinkan penggunaan OpenDNS, itu harus merupakan solusi rumahan.
Kazimieras Aliulis
0

Kami saat ini menemukan mereka dengan memperhatikan mesin mana yang terdaftar dalam log kejadian mesin lain untuk pelanggaran kebijakan LSA. Khususnya di log kejadian, sumber LsaSrv error 6033. Mesin yang membuat koneksi sesi anonim yang ditolak adalah terinfeksi conficker.

Laura Thomas
sumber