it-swarm-es.com

¿Cuál es la mejor manera de encontrar equipos infectados con Conficker en las redes de la empresa de forma remota?

¿Cuál es la mejor manera de encontrar de forma remota PC infectadas con Conficker en las redes de la empresa/ISP?

10

La última versión de nmap tiene la capacidad de detectar todas las variantes (actuales) de Conficker mediante la detección de los cambios casi invisibles que el gusano realiza en los servicios del puerto 139 y 445 en los servicios infectados máquinas.

Esta es (AFAIK) la forma más fácil de realizar un escaneo basado en red de toda su red sin visitar cada máquina.

5
Alnitak

Ejecute la herramienta de eliminación de software malintencionado de Microsoft . Es un binario independiente que es útil para eliminar el software malintencionado predominante y puede ayudar a eliminar la familia de malware Win32/Conficker.

Puede descargar MSRT desde cualquiera de los siguientes sitios web de Microsoft:

Lea este artículo de soporte de Micosoft: Alerta de virus sobre el gusano Win32/Conficker.B

ACTUALIZAR:

Existe esta página web que puede abrir. Debería dar una advertencia si hay un signo de conficker en la máquina: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Casi olvido mencionar este enfoque "visual" muy agradable: Conficker Eye Chart (no estoy seguro de si funcionará en el futuro con la versión modificada del virus) - no estoy seguro de si todavía funciona correctamente (actualización 06/2009):

Si puede ver las seis imágenes en ambas filas de la tabla superior, o no está infectado por Conficker o puede estar usando un servidor proxy, en cuyo caso no podrá usar esta prueba para tomar una determinación precisa. ya que Conficker no podrá bloquearle la visualización de los sitios AV/de seguridad.

Escáner de red

escáner de red de gusano Conficker gratuito de eEye:

El gusano Conficker utiliza una variedad de vectores de ataque para transmitir y recibir cargas útiles, que incluyen: vulnerabilidades de software (por ejemplo, MS08-067), dispositivos de medios portátiles (por ejemplo, unidades de memoria USB y discos duros), así como aprovechar las debilidades de los puntos finales (por ejemplo, contraseñas débiles en sistemas habilitados para red). El gusano Conficker también generará puertas traseras de acceso remoto en el sistema e intentará descargar malware adicional para infectar aún más el Host.

Descarga aquí: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

Mire también este recurso ("escáner de red"): http: //iv.cs.uni-bonn. De/wg/cs/applications/contains-conficker / . Busque "Escáner de red" y, si está ejecutando Windows:

Florian Roth ha compilado una versión de Windows que está disponible para descargar desde su sitio web [enlace directo a la descarga zip].

11
splattne

Hay una herramienta Python llamada SCS que puede ejecutar desde su estación de trabajo, y puede encontrarla aquí: http://iv.cs.uni-bonn.de/wg/cs/applications/que contiene-conficker /

Va de esta manera en mi estación de trabajo:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

[email protected]:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
4
Andor

Esta página tiene muchos recursos útiles, incluido un resumen visual rápido de si está infectado ...

http://www.confickerworkinggroup.org/wiki/

3
cagcowboy

OpenDNS advertirá de las PC que crea que están infectadas. Aunque como dijo Splattne, MSRT es probablemente la mejor opción.

1
Adam Gibbins

Actualmente, los estamos encontrando al notar qué máquinas se enumeran en los registros de eventos de otras máquinas por violaciones de la política de LSA. Específicamente en el registro de eventos Fuente LsaSrv error 6033. La máquina que realiza las conexiones de sesión anónimas que se niegan está infectada con conficker.

0
Laura Thomas