¿Cuál es la mejor manera de encontrar PC infectadas por Conficker en las redes de la empresa de forma remota?

10

¿Cuál es la mejor manera remota de encontrar PC infectadas por Conficker en las redes de la empresa / ISP?

Kazimieras Aliulis
fuente

Respuestas:

5

La última versión de nmaptiene la capacidad de detectar todas las variantes (actuales) de Conficker al detectar los cambios casi invisibles que el gusano realiza en los servicios del puerto 139 y 445 en las máquinas infectadas.

Esta es (AFAIK) la forma más fácil de hacer un escaneo basado en la red de toda su red sin visitar cada máquina.

Alnitak
fuente
Si la PC tiene un firewall bien configurado, bloqueará los puertos 139 y 445, por lo que no es 100% efectivo, pero la mayoría de las máquinas pueden ser detectadas.
Kazimieras Aliulis
Si la PC tuviera un cortafuegos bien configurado, probablemente no se habría infectado en primer lugar ...
Alnitak
Debe tener en cuenta que ciertas partes de las pruebas smb-check-vulns incluidas en nmap pueden provocar el bloqueo de máquinas infectadas. Cuál puede evitarse mejor en un entorno de producción.
Dan Carley
estrellar máquinas infectadas suena como una victoria, para mí :) Chocar máquinas no infectadas sería realmente malo, aunque ...
Alnitak
11

Ejecute la herramienta de eliminación de software malintencionado de Microsoft . Es un binario independiente que es útil en la eliminación de software malicioso frecuente, y puede ayudar a eliminar la familia de malware Win32 / Conficker.

Puede descargar el MSRT desde cualquiera de los siguientes sitios web de Microsoft:

Lea este artículo de soporte de Micosoft: Alerta de virus sobre el gusano Win32 / Conficker.B

ACTUALIZAR:

Existe esta página web que puede abrir. Debería dar una advertencia si hay una señal de conficker en la máquina: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Casi me olvido de mencionar este muy buen enfoque "visual": Conficker Eye Chart (no estoy seguro de si funcionará en el futuro con la versión modificada del virus) - No estoy seguro de si todavía funciona correctamente (actualización 06 / 2009):

Si puede ver las seis imágenes en ambas filas de la tabla superior, no está infectado por Conficker o puede estar utilizando un servidor proxy, en cuyo caso no podrá utilizar esta prueba para hacer una determinación precisa, ya que Conficker no podrá impedir que vea los sitios de AV / seguridad.

Escáner de red

Escáner gratuito de red de gusanos Conficker de eEye:

El gusano Conficker utiliza una variedad de vectores de ataque para transmitir y recibir cargas útiles, que incluyen: vulnerabilidades de software (p. Ej. MS08-067), dispositivos de medios portátiles (p. Ej., Memorias USB y discos duros), así como aprovechar las debilidades de los puntos finales (p. Ej., Contraseñas débiles en sistemas habilitados para red). El gusano Conficker también generará puertas traseras de acceso remoto en el sistema e intentará descargar malware adicional para infectar aún más al host.

Descargue aquí: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

Mire también este recurso ("escáner de red"): http: //iv.cs.uni-bonn. de / wg / cs / aplicaciones / container-conficker / . Busque "Network Scanner" y, si está ejecutando Windows:

Florian Roth ha compilado una versión de Windows que está disponible para descargar desde su sitio web [enlace directo a descarga zip] .

splattne
fuente
Pregunté cómo detectar las PC en la red, no cómo borrarlas.
Kazimieras Aliulis
La herramienta de eliminación los DETECTA. Como un agradable efecto secundario, los borra ... ;-)
splattne
Ah, ¿te refieres a REMOTELY? lo siento. Ahora entiendo.
splattne
Si la PC tiene un firewall bien configurado, bloqueará 139 y 445 puertos, por lo que no es 100% efectivo, pero la mayoría de las máquinas pueden ser detectadas. Lamentablemente, las firmas de detección de intrusos son solo para las versiones A y B. La comprobación de dominios también es en parte una solución viable.
Kazimieras Aliulis
4

Hay una herramienta de Python llamada SCS que puede iniciar desde su estación de trabajo, y puede encontrarla aquí: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Va de esta manera en mi estación de trabajo:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
Andor
fuente
¡Es un buen guión!
Kazimieras Aliulis
1

OpenDNS advertirá de las PC que cree que están infectadas. Aunque, como dijo splattne, MSRT es probablemente la mejor opción.

Adam Gibbins
fuente
La política de la compañía no permite usar OpenDNS, debe ser una solución local.
Kazimieras Aliulis
0

Actualmente los estamos encontrando al notar qué máquinas se enumeran en los registros de eventos de otras máquinas por violaciones de la política de LSA. Específicamente EN el registro de eventos Fuente LsaSrv error 6033. La máquina que realiza las conexiones de sesión anónimas que se están negando está infectada por conficker.

Laura Thomas
fuente