Qual é a melhor maneira de encontrar PCs infectados com Conficker nas redes da empresa remotamente?

10

Qual é a melhor maneira de encontrar remotamente os PCs infectados pelo Conficker nas redes da empresa / ISP?

networking security malware Kazimieras Aliulis
fonte

Respostas:

5

A versão mais recente do nmaptem a capacidade de detectar todas as variantes (atuais) do Conficker, detectando as alterações quase invisíveis que o worm faz nos serviços das portas 139 e 445 nas máquinas infectadas.

Essa é (AFAIK) a maneira mais fácil de fazer uma varredura baseada em rede de toda a sua rede sem visitar cada máquina.

Alnitak
fonte
Se o PC tiver um firewall bem configurado, ele bloqueará as portas 139 e 445, portanto não é 100% eficaz, mas a maioria das máquinas pode ser detectada.
Kazimieras Aliulis 9/05/2009
Se o PC tinha um bem configurado firewall que provavelmente não teria sido infectado em primeiro lugar ...
Alnitak
Você deve estar ciente de que certas partes dos testes smb-check-vulns incluídas no nmap podem travar máquinas infectadas. O que pode ser melhor evitado em um ambiente de produção.
Dan Carley
bater sons máquinas infectadas como uma vitória, para mim :) Falhando máquinas infectadas seria ruim real, embora ...
Alnitak
11

Execute a ferramenta de remoção de software mal-intencionado da Microsoft . É um binário independente que é útil na remoção de software malicioso predominante e pode ajudar a remover a família de malware Win32 / Conficker.

Você pode baixar o MSRT de qualquer um dos seguintes sites da Microsoft:

Leia este artigo de suporte da Micosoft: Alerta de vírus sobre o worm Win32 / Conficker.B

ATUALIZAR:

Existe esta página da web que você pode abrir. Deverá alertar se houver um sinal de confusão na máquina: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Eu quase esqueci de mencionar essa abordagem "visual" muito legal: Conficker Eye Chart (não tenho certeza se funcionará no futuro com a versão modificada do vírus) - não tenho certeza se ainda funciona corretamente (atualização 06 / 2009):

Se você puder ver todas as seis imagens nas duas linhas da tabela superior, não está infectado pelo Conficker ou pode estar usando um servidor proxy; nesse caso, não poderá usar esse teste para determinar com precisão, pois o Conficker não poderá impedi-lo de exibir os sites de segurança / antivírus.

Scanner de rede

Scanner de rede de e-mail gratuito Conficker Worm da eEye:

O worm Conficker utiliza uma variedade de vetores de ataque para transmitir e receber cargas úteis, incluindo: vulnerabilidades de software (por exemplo, MS08-067), dispositivos de mídia portáteis (por exemplo, pen drives e discos rígidos USB), além de alavancar pontos fracos do ponto de extremidade (por exemplo, senhas fracas em sistemas habilitados para rede). O worm Conficker também gerará backdoors de acesso remoto no sistema e tentará baixar outros malwares para infectar ainda mais o host.

Faça o download aqui: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

Veja também este recurso ("scanner de rede"): http: //iv.cs.uni-bonn. de / wg / cs / applications / contendo-conficker / . Procure por "Network Scanner" e, se você estiver executando o Windows:

Florian Roth compilou uma versão para Windows que está disponível para download em seu site [link direto para zip-download] .

splattne
fonte
Perguntei como detectar PCs em rede, não como limpá-los.
Kazimieras Aliulis
A Ferramenta de Remoção DETECTÁ-los. Como um agradável efeito colateral, ele limpa-los ... ;-)
splattne
Ah, você quer dizer REMOTAMENTE? desculpa. Agora eu entendo.
8339 splattne
Se o PC tiver um firewall bem configurado, ele bloqueará as portas 139 e 445, portanto não é 100% eficaz, mas a maioria das máquinas pode ser detectada. Infelizmente, as assinaturas de detecção de intrusão são apenas para as versões A e B. A verificação de domínio também é, em parte, uma solução viável.
Kazimieras Aliulis
4

Existe uma ferramenta Python chamada SCS que você pode iniciar a partir da estação de trabalho e pode encontrá-la aqui: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

É assim na minha estação de trabalho:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
Andor
fonte
É um bom roteiro!
Kazimieras Aliulis
1

O OpenDNS avisa sobre os PCs que acredita estar infectados. Embora, como disse Splattne, o MSRT seja provavelmente a melhor opção.

Adam Gibbins
fonte
A política da empresa não permite usar o OpenDNS, ele deve estar em uma solução doméstica.
Kazimieras Aliulis
0

No momento, estamos localizando-os observando quais máquinas estão listadas nos logs de eventos de outras máquinas por violações da política da LSA. Especificamente no erro 6033 de Origem LsaSrv da origem do log de eventos. A máquina que faz as conexões anônimas da sessão que estão sendo negadas está infectada por conficker.

Laura Thomas
fonte