Как лучше всего удаленно найти зараженные Conficker компьютеры в корпоративных сетях или сетях интернет-провайдеров?
Запустите Microsoft Средство удаления вредоносных программ. Это автономный двоичный файл, который полезен для удаления распространенных вредоносных программ и может помочь удалить вредоносное ПО семейства Win32 / Conficker.
Вы можете загрузить MSRT с любого из следующих веб-сайтов Microsoft:
Прочтите эту статью поддержки Micosoft: Оповещение вируса о черве Win32 / Conficker.B
ОБНОВИТЬ:
Вот эта веб-страница, которую вы можете открыть. Он должен выдавать предупреждение, если на машине есть признак конфиктора: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
Чуть не забыл упомянуть об этом очень красивом «визуальном» подходе: Диаграмма Conficker Eye (Я не уверен, будет ли он работать в будущем с модифицированной версией вируса) - Я не уверен, что он по-прежнему работает должным образом (обновление 06/2009):
Если вы видите все шесть изображений в обеих строках верхней таблицы, значит вы либо не заражены Conficker, либо используете прокси-сервер, и в этом случае вы не сможете использовать этот тест для точного определения. поскольку Conficker не сможет заблокировать вам доступ к сайтам AV / безопасности.
Сетевой сканер
Бесплатный сетевой сканер-червь Conficker от eEye:
Червь Conficker использует множество векторов атак для передачи и получения полезной нагрузки, в том числе: уязвимости программного обеспечения (например, MS08-067), портативные мультимедийные устройства (например, флэш-накопители USB и жесткие диски), а также использование слабых мест конечных точек (например, слабые пароли на сетевые системы). Червь Conficker также порождает бэкдоры удаленного доступа в системе и пытается загрузить дополнительное вредоносное ПО для дальнейшего заражения хоста.
Скачать здесь: http://www.eeye.com/html/downloads/other/ConfickerScanner.html
Также посмотрите этот ресурс («сетевой сканер»): http: //iv.cs.uni-bonn. де / РГ / CS / приложений / содержащий-conficker /. Найдите "Network Scanner" и, если вы используете Windows:
Флориан Рот скомпилировал версию для Windows, доступную для загрузки. со своего сайта [прямая ссылка на zip-загрузку].
Последняя версия nmap имеет возможность обнаруживать все (текущие) варианты Conficker, обнаруживая в противном случае почти невидимые изменения, которые червь вносит в службы портов 139 и 445 на зараженных машинах.
Это (AFAIK) самый простой способ выполнить сетевое сканирование всей вашей сети, не посещая каждую машину.
Существует инструмент Python под названием SCS, который вы можете запустить со своей рабочей станции, и вы можете найти его здесь: http://iv.cs.uni-bonn.de/wg/cs/applications/contain-conficker/
На моей рабочей станции это происходит так:
Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>
andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80
----------------------------------
Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------
No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
На этой странице есть много полезных ресурсов, в том числе краткое визуальное описание того, заражены ли вы ...
OpenDNS предупредит о компьютерах, которые, по его мнению, заражены. Хотя, как сказал Сплаттне, MSRT, скорее всего, лучший вариант.
В настоящее время мы находим их, замечая, какие машины перечислены в журналах событий других машин на предмет нарушений политики LSA. В частности, В журнале событий Источник LsaSrv ошибка 6033. Машина, выполняющая анонимные сеансовые соединения, которые запрещены, заражена conficker.