Вопрос: Каков наилучший способ обнаружения зараженных компьютеров Conficker в корпоративных сетях удаленно?


Каким образом можно удаленно находить зараженные ПК Conficker в сетях компаний / интернет-провайдеров?


10
2018-05-08 12:35


Источник




Ответы:


Последняя версия nmap имеет возможность обнаруживать все (текущие) варианты Conficker, обнаруживая практически невидимые изменения, которые червь делает для портов 139 и портов 445 на зараженных компьютерах.

Это (AFAIK) самый простой способ сделать сетевое сканирование всей сети без посещения каждой машины.


5
2018-05-08 14:04



Если у ПК есть хорошо сконфигурированный брандмауэр, он будет блокировать от 139 и 445 портов, поэтому он не на 100% эффективен, но большинство машин могут быть обнаружены. - Kazimieras Aliulis
Если у ПК был хорошо настроенный брандмауэр, он, вероятно, не был бы заражен в первую очередь ... - Alnitak
Вы должны знать, что определенные части тестов smb-check-vulns, включенные в nmap, могут привести к сбою зараженных машин. Что лучше всего избежать в производственной среде. - Dan Carley
сбой зараженных машин звучит как победа, для меня :) Сбой неинфицированных машин будет очень плохо, хотя ... - Alnitak


Запустите Microsoft Средство удаления вредоносных программ, Это автономный двоичный код, который полезен при удалении распространенного вредоносного программного обеспечения и может помочь удалить семейство вредоносных программ Win32 / Conficker.

Вы можете загрузить MSRT с любого из следующих веб-сайтов Microsoft:

Прочтите эту статью поддержки Micosoft: Предупреждение о вирусе Win32 / Conficker.B.

ОБНОВИТЬ:

Вы можете открыть эту веб-страницу. Он должен дать предупреждение, если на аппарате есть знак conficker: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Я почти забыл упомянуть об этом очень приятном «визуальном» подходе: Диагностика глаз Conficker (Я не уверен, что он будет работать в будущем с измененной версией вируса). Я не уверен, что он все еще работает правильно (обновление 06/2009):

Если вы можете увидеть все шесть изображений в обоих   строк верхней таблицы, вы либо   не заражены Conficker, или вы можете   использовать прокси-сервер, и в этом случае   вы не сможете использовать этот тест   для точного определения,   поскольку Conficker не сможет   заблокировать вас от просмотра AV / security   места.

Сетевой сканер

eEye's Free Conficker Worm Network Scanner:

Червь Conficker использует разнообразные   векторов атаки для передачи и   получать полезную нагрузку, в том числе: программное обеспечение   уязвимости (например, MS08-067),   портативные мультимедийные устройства (например, USB-накопитель   диски и жесткие диски), а также   использование слабых сторон конечной точки (например,   слабые пароли в сети   системы). Червь Conficker также будет   Инициировать удаленный доступ на   и попытаться загрузить   дополнительное вредоносное ПО для дальнейшего заражения   гостья.

Скачать здесь: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

Посмотрите также на этот ресурс («сетевой сканер»): Http: //iv.cs.uni-bonn. де / РГ / CS / приложений /, содержащий-Conficker /, Найдите «Сетевой сканер» и, если вы используете Windows:

Флориан Рот собрал Windows   версия, доступная для   скачать с его сайта  [прямая ссылка на zip-download],


11
2018-05-08 12:39



Я спросил, как обнаружить компьютеры в сети, а не как их очистить. - Kazimieras Aliulis
Утилита для удаления DETECT DETECT. Как хороший побочный эффект, он очищает их ... ;-) - splattne
Ах, вы имеете в виду REMOTELY? Прости. Теперь я понимаю. - splattne
Если у ПК есть хорошо сконфигурированный брандмауэр, он будет блокировать 139 и 445 портов, поэтому он не на 100% эффективен, но большинство машин могут быть обнаружены. Грустно, что сигнатуры обнаружения вторжений предназначены только для версий A и B. Проверка домена также является жизнеспособным решением. - Kazimieras Aliulis


Существует инструмент Python под названием SCS, который можно запустить с вашей рабочей станции, и вы можете найти его здесь: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Это происходит на моей рабочей станции:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.

4
2018-05-14 12:36



Это хороший сценарий! - Kazimieras Aliulis


На этой странице есть много полезных ресурсов, в том числе быстрое визуальное резюме о том, заражены ли вы ...

http://www.confickerworkinggroup.org/wiki/


3
2018-05-08 13:11





OpenDNS будет предупреждать о компьютерах, которые, по его мнению, заражены. Хотя, как сказал splattne, MSRT, скорее всего, лучший вариант.


1
2018-05-08 12:42



Политика компании не позволяет использовать OpenDNS, она должна быть дома. - Kazimieras Aliulis


В настоящее время мы находим их, заметив, какие машины перечислены в журналах событий других машин для нарушений политики LSA. В частности, в журнале регистрации событий Source LsaSrv error 6033. Аппарат, на котором запрещены анонимные сеансовые соединения, заражен конфиденциальностью.


0
2018-06-04 18:37