เป็นวิธีที่ดีที่สุดจากระยะไกลเพื่อค้นหา Conficker พีซีที่ติดเชื้อในเครือข่าย บริษัท / ISP อะไร
เป็นวิธีที่ดีที่สุดจากระยะไกลเพื่อค้นหา Conficker พีซีที่ติดเชื้อในเครือข่าย บริษัท / ISP อะไร
คำตอบ:
เวอร์ชันล่าสุดของnmap
มีความสามารถในการตรวจหาตัวแปรทั้งหมด (ปัจจุบัน) ของ Conficker โดยตรวจจับการเปลี่ยนแปลงที่มองไม่เห็นเป็นอย่างอื่นที่เวิร์มทำกับพอร์ต 139 และพอร์ต 445 บริการบนเครื่องที่ติดไวรัส
นี่คือ (AFAIK) วิธีที่ง่ายที่สุดในการสแกนตามเครือข่ายของเครือข่ายทั้งหมดของคุณโดยไม่ต้องเยี่ยมชมแต่ละเครื่อง
ไมโครซอฟท์เรียกใช้เครื่องมือกำจัดซอฟต์แวร์ที่เป็นอันตราย มันเป็นไบนารีแบบสแตนด์อะโลนที่มีประโยชน์ในการกำจัดซอฟต์แวร์ที่เป็นอันตรายที่แพร่หลายและสามารถช่วยลบตระกูลมัลแวร์ Win32 / Conficker ได้
คุณสามารถดาวน์โหลด MSRT ได้จากเว็บไซต์ Microsoft ต่อไปนี้:
อ่านบทความสนับสนุน Micosoft: การแจ้งเตือนไวรัสเกี่ยวกับหนอน Win32 / Conficker.B
UPDATE:
มีหน้าเว็บนี้ที่คุณสามารถเปิดได้ ควรให้คำเตือนหากมีสัญญาณบ่งบอกว่าเครื่อง Conficker: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
ฉันเกือบลืมพูดถึงวิธี "visual" ที่ดีมากนี้: Conficker Eye Chart (ฉันไม่แน่ใจว่ามันจะทำงานในอนาคตด้วยไวรัสรุ่นที่แก้ไข) - ฉันไม่แน่ใจว่ามันยังทำงานได้อย่างถูกต้องหรือไม่ (อัพเดท 06 / 2009):
หากคุณเห็นภาพทั้งหกภาพในทั้งสองแถวของตารางด้านบนแสดงว่าคุณไม่ได้ติดเชื้อโดย Conficker หรือคุณอาจใช้พร็อกซีเซิร์ฟเวอร์ซึ่งในกรณีนี้คุณจะไม่สามารถใช้การทดสอบนี้เพื่อการตัดสินใจที่ถูกต้อง เนื่องจาก Conficker จะไม่สามารถบล็อกคุณจากการดูเว็บไซต์ AV / ความปลอดภัย
เครื่องสแกนเครือข่าย
สแกนเนอร์เครือข่าย Worm Conficker ของ eEye ฟรี:
หนอน Conficker ใช้เวกเตอร์การโจมตีที่หลากหลายเพื่อส่งและรับ payloads รวมถึง: ช่องโหว่ของซอฟต์แวร์ (เช่น MS08-067), อุปกรณ์สื่อพกพา (เช่น USB Thumb Drive และฮาร์ดไดรฟ์) เช่นเดียวกับการใช้จุดอ่อนจุดสิ้นสุดของจุดอ่อน ระบบที่เปิดใช้งานเครือข่าย) เวิร์ม Conficker จะวางไข่แบ็คดอร์การเข้าถึงระยะไกลบนระบบและพยายามดาวน์โหลดมัลแวร์เพิ่มเติมเพื่อแพร่เชื้อต่อไปในโฮสต์
ดาวน์โหลดที่นี่: http://www.eeye.com/html/downloads/other/ConfickerScanner.html
ดูที่ทรัพยากรนี้ ("สแกนเนอร์เครือข่าย"): http: //iv.cs.uni-bonn เดอ / wg / cs / การใช้งาน / มี-Conficker / ค้นหา "Network Scanner" และหากคุณใช้ Windows:
Florian Roth ได้รวบรวม Windows รุ่นที่สามารถใช้ได้สำหรับการดาวน์โหลดจากเว็บไซต์ของเขา [เชื่อมโยงโดยตรงกับซิปดาวน์โหลด]
มีเครื่องมือ Python ชื่อ SCS ที่คุณสามารถเรียกใช้จากเวิร์กสเตชันของคุณและคุณสามารถค้นหาได้ที่นี่: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/
มันเป็นเช่นนี้ในเวิร์กสเตชันของฉัน:
Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>
andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80
----------------------------------
Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------
No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
หน้านี้มีทรัพยากรที่มีประโยชน์มากมายรวมถึงสรุปภาพอย่างรวดเร็วว่าคุณติดเชื้อหรือไม่ ...
OpenDNS จะเตือนพีซีที่คิดว่าติดไวรัส แม้ว่าตามที่ splattne กล่าวว่า MSRT น่าจะเป็นตัวเลือกที่ดีที่สุด
ขณะนี้เรากำลังค้นหาพวกเขาโดยสังเกตว่าเครื่องใดที่อยู่ในรายการบันทึกเหตุการณ์ของเครื่องอื่นสำหรับการละเมิดนโยบาย LSA โดยเฉพาะในข้อผิดพลาดแหล่งที่มาของบันทึกเหตุการณ์ LsaSrv 6033 เครื่องที่ทำการเชื่อมต่อเซสชันที่ไม่ระบุชื่อที่ถูกปฏิเสธนั้นติดไวรัส