วิธีที่ดีที่สุดในการค้นหา Conficker พีซีที่ติดเชื้อในเครือข่ายของ บริษัท นั้นอยู่ในระยะไกลคืออะไร?


10

เป็นวิธีที่ดีที่สุดจากระยะไกลเพื่อค้นหา Conficker พีซีที่ติดเชื้อในเครือข่าย บริษัท / ISP อะไร

คำตอบ:


5

เวอร์ชันล่าสุดของnmapมีความสามารถในการตรวจหาตัวแปรทั้งหมด (ปัจจุบัน) ของ Conficker โดยตรวจจับการเปลี่ยนแปลงที่มองไม่เห็นเป็นอย่างอื่นที่เวิร์มทำกับพอร์ต 139 และพอร์ต 445 บริการบนเครื่องที่ติดไวรัส

นี่คือ (AFAIK) วิธีที่ง่ายที่สุดในการสแกนตามเครือข่ายของเครือข่ายทั้งหมดของคุณโดยไม่ต้องเยี่ยมชมแต่ละเครื่อง


หากพีซีมีไฟร์วอลล์ที่กำหนดค่าไว้อย่างดีมันจะบล็อกจากพอร์ต 139 และ 445 ดังนั้นจึงไม่มีประสิทธิภาพ 100% แต่สามารถตรวจพบเครื่องส่วนใหญ่ได้
Kazimieras Aliulis

หากคอมพิวเตอร์ได้กำหนดค่าไฟร์วอลล์ดีมันอาจจะไม่ได้รับการติดเชื้อในสถานที่แรก ...
Alnitak

คุณควรระวังว่าบางส่วนของการทดสอบ smb-check-vulns ที่รวมอยู่ใน nmap มีแนวโน้มที่จะเกิดความผิดพลาดของเครื่องที่ติดไวรัส ซึ่งอาจหลีกเลี่ยงได้ดีที่สุดในสภาพแวดล้อมการผลิต
Dan Carley

crashing เครื่องที่ติดเชื้อเสียงเหมือนชนะให้ฉัน :) Crashing เครื่องไม่ติดเชื้อจะไม่ดีจริง แต่ ...
Alnitak

11

ไมโครซอฟท์เรียกใช้เครื่องมือกำจัดซอฟต์แวร์ที่เป็นอันตราย มันเป็นไบนารีแบบสแตนด์อะโลนที่มีประโยชน์ในการกำจัดซอฟต์แวร์ที่เป็นอันตรายที่แพร่หลายและสามารถช่วยลบตระกูลมัลแวร์ Win32 / Conficker ได้

คุณสามารถดาวน์โหลด MSRT ได้จากเว็บไซต์ Microsoft ต่อไปนี้:

อ่านบทความสนับสนุน Micosoft: การแจ้งเตือนไวรัสเกี่ยวกับหนอน Win32 / Conficker.B

UPDATE:

มีหน้าเว็บนี้ที่คุณสามารถเปิดได้ ควรให้คำเตือนหากมีสัญญาณบ่งบอกว่าเครื่อง Conficker: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

ฉันเกือบลืมพูดถึงวิธี "visual" ที่ดีมากนี้: Conficker Eye Chart (ฉันไม่แน่ใจว่ามันจะทำงานในอนาคตด้วยไวรัสรุ่นที่แก้ไข) - ฉันไม่แน่ใจว่ามันยังทำงานได้อย่างถูกต้องหรือไม่ (อัพเดท 06 / 2009):

หากคุณเห็นภาพทั้งหกภาพในทั้งสองแถวของตารางด้านบนแสดงว่าคุณไม่ได้ติดเชื้อโดย Conficker หรือคุณอาจใช้พร็อกซีเซิร์ฟเวอร์ซึ่งในกรณีนี้คุณจะไม่สามารถใช้การทดสอบนี้เพื่อการตัดสินใจที่ถูกต้อง เนื่องจาก Conficker จะไม่สามารถบล็อกคุณจากการดูเว็บไซต์ AV / ความปลอดภัย

เครื่องสแกนเครือข่าย

สแกนเนอร์เครือข่าย Worm Conficker ของ eEye ฟรี:

หนอน Conficker ใช้เวกเตอร์การโจมตีที่หลากหลายเพื่อส่งและรับ payloads รวมถึง: ช่องโหว่ของซอฟต์แวร์ (เช่น MS08-067), อุปกรณ์สื่อพกพา (เช่น USB Thumb Drive และฮาร์ดไดรฟ์) เช่นเดียวกับการใช้จุดอ่อนจุดสิ้นสุดของจุดอ่อน ระบบที่เปิดใช้งานเครือข่าย) เวิร์ม Conficker จะวางไข่แบ็คดอร์การเข้าถึงระยะไกลบนระบบและพยายามดาวน์โหลดมัลแวร์เพิ่มเติมเพื่อแพร่เชื้อต่อไปในโฮสต์

ดาวน์โหลดที่นี่: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

ดูที่ทรัพยากรนี้ ("สแกนเนอร์เครือข่าย"): http: //iv.cs.uni-bonn เดอ / wg / cs / การใช้งาน / มี-Conficker / ค้นหา "Network Scanner" และหากคุณใช้ Windows:

Florian Roth ได้รวบรวม Windows รุ่นที่สามารถใช้ได้สำหรับการดาวน์โหลดจากเว็บไซต์ของเขา [เชื่อมโยงโดยตรงกับซิปดาวน์โหลด]


ฉันถามว่าจะตรวจจับพีซีในเครือข่ายไม่ใช่วิธีการล้างพวกเขา
Kazimieras Aliulis

เครื่องมือกำจัดไม่สามารถตรวจพบได้ ในฐานะที่เป็นดีผลข้างเคียงก็ล้างพวกเขา ... ;-)
splattne

อ่าคุณหมายถึง REMOTELY หรือเปล่า ขอโทษ ตอนนี้ฉันเข้าใจ.
splattne

หากพีซีมีไฟร์วอลล์ที่กำหนดค่าไว้อย่างดีมันจะบล็อกพอร์ต 139 และ 445 ดังนั้นจึงไม่มีประสิทธิภาพ 100% แต่สามารถตรวจพบเครื่องส่วนใหญ่ได้ น่าเสียดายที่ลายเซ็นการตรวจจับการบุกรุกนั้นมีไว้สำหรับรุ่น A และ B เท่านั้น การตรวจสอบโดเมนเป็นส่วนหนึ่งในโซลูชันที่ทำงานได้เช่นกัน
Kazimieras Aliulis

4

มีเครื่องมือ Python ชื่อ SCS ที่คุณสามารถเรียกใช้จากเวิร์กสเตชันของคุณและคุณสามารถค้นหาได้ที่นี่: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

มันเป็นเช่นนี้ในเวิร์กสเตชันของฉัน:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.

มันเป็นสคริปต์ที่ดี!
Kazimieras Aliulis


1

OpenDNS จะเตือนพีซีที่คิดว่าติดไวรัส แม้ว่าตามที่ splattne กล่าวว่า MSRT น่าจะเป็นตัวเลือกที่ดีที่สุด


นโยบายของ บริษัท ไม่อนุญาตให้ใช้ OpenDNS จะต้องเป็นทางออกที่บ้าน
Kazimieras Aliulis

0

ขณะนี้เรากำลังค้นหาพวกเขาโดยสังเกตว่าเครื่องใดที่อยู่ในรายการบันทึกเหตุการณ์ของเครื่องอื่นสำหรับการละเมิดนโยบาย LSA โดยเฉพาะในข้อผิดพลาดแหล่งที่มาของบันทึกเหตุการณ์ LsaSrv 6033 เครื่องที่ทำการเชื่อมต่อเซสชันที่ไม่ระบุชื่อที่ถูกปฏิเสธนั้นติดไวรัส

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.