Was ist der beste Weg, um mit Conficker infizierte PCs in Unternehmens- / ISP-Netzwerken aus der Ferne zu finden?
Was ist der beste Weg, um mit Conficker infizierte PCs in Unternehmens- / ISP-Netzwerken aus der Ferne zu finden?
Antworten:
Die neueste Version von kann nmapalle (aktuellen) Varianten von Conficker erkennen, indem die ansonsten fast unsichtbaren Änderungen erkannt werden, die der Wurm an den Diensten von Port 139 und Port 445 auf infizierten Computern vornimmt.
Dies ist (AFAIK) der einfachste Weg, einen netzwerkbasierten Scan Ihres gesamten Netzwerks durchzuführen, ohne jeden Computer zu besuchen.
Führen Sie das Tool zum Entfernen bösartiger Software von Microsoft aus . Es handelt sich um eine eigenständige Binärdatei, die beim Entfernen von häufig vorkommender schädlicher Software hilfreich ist und zum Entfernen der Win32 / Conficker-Malware-Familie beitragen kann.
Sie können das MSRT von einer der folgenden Microsoft-Websites herunterladen:
Lesen Sie diese Micosoft Support - Artikel: Viruswarnung über die Win32 / Conficker.B Wurm
AKTUALISIEREN:
Es gibt diese Webseite, die Sie öffnen könnten. Es sollte eine Warnung ausgegeben werden, wenn auf dem Computer ein Anzeichen von Conficker vorhanden ist: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
Fast hätte ich vergessen, diesen sehr schönen "visuellen" Ansatz zu erwähnen: Conficker Eye Chart (Ich bin nicht sicher, ob es in Zukunft mit einer modifizierten Version des Virus funktionieren wird) - Ich bin nicht sicher, ob es noch richtig funktioniert (Update 06) / 2009):
Wenn Sie alle sechs Bilder in beiden Zeilen der oberen Tabelle sehen können, sind Sie entweder nicht von Conficker infiziert oder Sie verwenden möglicherweise einen Proxyserver. In diesem Fall können Sie diesen Test nicht verwenden, um eine genaue Bestimmung vorzunehmen. da Conficker Sie nicht daran hindern kann, die AV- / Sicherheitsseiten anzuzeigen.
Netzwerkscanner
eEyes kostenloser Conficker Worm Network Scanner:
Der Conficker-Wurm verwendet eine Vielzahl von Angriffsmethoden, um Nutzdaten zu senden und zu empfangen, darunter: Software-Schwachstellen (z. B. MS08-067), tragbare Mediengeräte (z. B. USB-Sticks und Festplatten) sowie die Nutzung von Endpunktschwächen (z. B. schwache Kennwörter) netzwerkfähige Systeme). Der Conficker-Wurm erzeugt auch Backdoors für den Remotezugriff auf dem System und versucht, zusätzliche Malware herunterzuladen, um den Host weiter zu infizieren.
Hier herunterladen: http://www.eeye.com/html/downloads/other/ConfickerScanner.html
Schauen Sie sich auch diese Ressource an ("Netzwerkscanner"): http: //iv.cs.uni-bonn. de / wg / cs / applications / mit-conficker / . Suchen Sie nach "Netzwerkscanner" und, wenn Sie Windows ausführen:
Florian Roth hat eine Windows-Version zusammengestellt, die von seiner Website zum Download zur Verfügung steht [direkter Link zum Zip-Download] .
Es gibt ein Python-Tool namens SCS, das Sie von Ihrer Workstation aus starten können. Es finden Sie hier: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/
Auf meiner Workstation geht es so:
Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>
andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80
----------------------------------
Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------
No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
Diese Seite enthält viele nützliche Ressourcen, einschließlich einer kurzen visuellen Zusammenfassung, ob Sie infiziert sind ...
OpenDNS warnt vor PCs, von denen es glaubt, dass sie infiziert sind. Obwohl, wie Splattne sagte, MSRT höchstwahrscheinlich die beste Option ist.
Wir finden sie derzeit, indem wir feststellen, welche Computer in Ereignisprotokollen anderer Computer für Verstöße gegen LSA-Richtlinien aufgeführt sind. Insbesondere IN der Ereignisprotokollquelle LsaSrv-Fehler 6033. Der Computer, der die anonymen Sitzungsverbindungen herstellt, die verweigert werden, ist mit einem Conficker infiziert.