Apa cara terbaik untuk menemukan PC yang terinfeksi Conficker di jaringan perusahaan / ISP?
Apa cara terbaik untuk menemukan PC yang terinfeksi Conficker di jaringan perusahaan / ISP?
Jawaban:
Versi terbaru dari nmapmemiliki kemampuan untuk mendeteksi semua varian (saat ini) dari Conficker dengan mendeteksi perubahan yang hampir tidak terlihat yang dibuat oleh worm ke port 139 dan port 445 layanan pada mesin yang terinfeksi.
Ini adalah (AFAIK) cara termudah untuk melakukan pemindaian berbasis jaringan dari seluruh jaringan Anda tanpa mengunjungi setiap mesin.
Jalankan alat Penghapusan Perangkat Lunak Berbahaya Microsoft . Ini adalah biner yang berdiri sendiri yang berguna dalam menghapus perangkat lunak berbahaya yang lazim, dan dapat membantu menghapus keluarga malware Win32 / Conficker.
Anda dapat mengunduh MSRT dari salah satu situs Web Microsoft berikut:
Baca artikel dukungan Micosoft ini: Peringatan virus tentang worm Win32 / Conficker.B
MEMPERBARUI:
Ada halaman web ini yang bisa Anda buka. Seharusnya memberi peringatan jika ada tanda conficker pada mesin: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
Saya hampir lupa menyebutkan pendekatan "visual" yang sangat bagus ini: Conficker Eye Chart (Saya tidak yakin apakah ini akan berhasil di masa depan dengan versi modifikasi virus) - Saya tidak yakin apakah masih berfungsi dengan baik (pembaruan 06 / 2009):
Jika Anda dapat melihat semua enam gambar di kedua baris tabel atas, Anda tidak terinfeksi oleh Conficker, atau Anda mungkin menggunakan server proxy, dalam hal ini Anda tidak akan dapat menggunakan tes ini untuk membuat penentuan yang akurat, karena Conficker tidak akan dapat memblokir Anda dari melihat situs AV / keamanan.
Pemindai Jaringan
Scanner Jaringan Cacing Conficker Gratis eEye:
Cacing Conficker menggunakan berbagai vektor serangan untuk mengirim dan menerima muatan, termasuk: kerentanan perangkat lunak (mis. MS08-067), perangkat media portabel (mis. USB thumb drive dan hard drive), serta memanfaatkan kelemahan titik akhir (mis. Password lemah pada sistem yang mendukung jaringan). Cacing Conficker juga akan menelurkan backdoor akses jarak jauh pada sistem dan berusaha mengunduh malware tambahan untuk lebih menginfeksi host.
Unduh di sini: http://www.eeye.com/html/downloads/other/ConfickerScanner.html
Lihat juga sumber ini ("pemindai jaringan"): http: //iv.cs.uni-bonn. de / wg / cs / aplikasi / mengandung-conficker / . Cari "Network Scanner" dan, jika Anda menggunakan Windows:
Florian Roth telah menyusun versi Windows yang tersedia untuk diunduh dari situs webnya [tautan langsung ke pengunduhan zip] .
Ada alat Python bernama SCS yang dapat Anda luncurkan dari workstation Anda, dan Anda dapat menemukannya di sini: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/
Begini di workstation saya:
Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>
andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80
----------------------------------
Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------
No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
Halaman ini memiliki banyak sumber daya yang berguna, termasuk ringkasan visual cepat apakah Anda terinfeksi ...
OpenDNS akan memperingatkan PC yang dianggap terinfeksi. Meskipun seperti kata splattne, MSRT kemungkinan besar merupakan pilihan terbaik.
Kami saat ini menemukan mereka dengan memperhatikan mesin mana yang terdaftar dalam log kejadian mesin lain untuk pelanggaran kebijakan LSA. Khususnya di log kejadian, sumber LsaSrv error 6033. Mesin yang membuat koneksi sesi anonim yang ditolak adalah terinfeksi conficker.