web-dev-qa-db-ja.com

企業のネットワークでConfickerに感染したPCをリモートで見つけるための最良の方法は何ですか?

企業/ ISPネットワークでConfickerに感染したPCをリモートで見つけるための最良の方法は何ですか?

10

最新バージョンの nmap は、ワームが感染したポート139およびポート445のサービスに加えた、ほとんど目に見えない変更を検出することにより、Confickerのすべての(現在の)バリアントを検出する機能を備えていますマシン。

これは(AFAIK)各マシンにアクセスせずにネットワーク全体のネットワークベースのスキャンを実行する最も簡単な方法です。

5
Alnitak

Microsoftの悪意のあるソフトウェアの削除ツールを実行します。これは、蔓延している悪意のあるソフトウェアの削除に役立つスタンドアロンバイナリであり、Win32/Confickerマルウェアファミリの削除に役立ちます。

MSRTは、次のマイクロソフトWebサイトのいずれかからダウンロードできます。

このMicosoftサポート記事をお読みください: Win32/Conficker.Bワームに関するウイルス警告

UPDATE:

あなたが開くことができるこのウェブページがあります。マシンに干渉の兆候がある場合は、警告が表示されます。 http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

私はこの非常に素晴らしい「視覚的」アプローチについて言及するのをほとんど忘れていました: Conficker Eye Chart (ウイルスの修正バージョンで将来機能するかどうかはわかりません)-どうかわかりませんそれでも正常に動作します(2009年6月更新):

上の表の両方の行に6つの画像すべてが表示される場合は、Confickerに感染していないか、プロキシサーバーを使用している可能性があります。この場合、このテストを使用して正確な判断を行うことはできません。これは、ConfickerがAV /セキュリティサイトの閲覧をブロックできないためです。

ネットワークスキャナー

eEyeの無料のConfickerワームネットワークスキャナー:

Confickerワームは、ソフトウェアの脆弱性(MS08-067など)、ポータブルメディアデバイス(USBサムドライブやハードドライブなど)、エンドポイントの弱点(弱いパスワードなど)を利用して、ペイロードを送受信するさまざまな攻撃ベクトルを利用します。ネットワーク対応システム)。 Confickerワームは、システムにリモートアクセスバックドアを生成し、追加のマルウェアをダウンロードしてホストにさらに感染しようとします。

ここからダウンロード: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

このリソース(「ネットワークスキャナー」)も確認してください: http://iv.cs.uni-bonn。de/wg/cs/applications/taining-conficker / 。 「ネットワークスキャナー」を検索し、Windowsを実行している場合:

Florian RothがダウンロードできるWindowsバージョンをコンパイルしました 彼のウェブサイトから[Zip-downloadへの直接リンク]

11
splattne

ワークステーションから起動できるSCSと呼ばれるPythonツールがあり、ここで見つけることができます: http://iv.cs.uni-bonn.de/wg/cs/applications/taining-conficker /

それは私のワークステーションでこのようになります:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
4
Andor

このページには、感染しているかどうかの簡単な視覚的要約など、多くの役立つリソースがあります...

http://www.confickerworkinggroup.org/wiki/

3
cagcowboy

OpenDNSは、感染していると思われるPCについて警告します。 splattneが言ったように、MSRTはおそらく最良のオプションです。

1
Adam Gibbins

現在、LSAポリシー違反のために他のマシンのイベントログにリストされているマシンに気づいて、それらを見つけています。具体的には、イベントログのソースLsaSrvエラー6033です。拒否されている匿名セッション接続を行っているマシンは、confickerに感染しています。

0
Laura Thomas