Cách tốt nhất từ xa để tìm PC bị nhiễm Conficker trong mạng công ty / ISP là gì?
Cách tốt nhất từ xa để tìm PC bị nhiễm Conficker trong mạng công ty / ISP là gì?
Câu trả lời:
Phiên bản mới nhất nmap
có khả năng phát hiện tất cả các biến thể (hiện tại) của Conficker bằng cách phát hiện các thay đổi gần như vô hình mà con sâu tạo ra cho các dịch vụ cổng 139 và port 445 trên các máy bị nhiễm.
Đây là (AFAIK) cách dễ nhất để quét toàn bộ mạng dựa trên toàn bộ mạng của bạn mà không cần truy cập từng máy.
Chạy công cụ loại bỏ phần mềm độc hại của Microsoft . Nó là một nhị phân độc lập rất hữu ích trong việc loại bỏ phần mềm độc hại phổ biến và nó có thể giúp loại bỏ họ phần mềm độc hại Win32 / Conficker.
Bạn có thể tải xuống MSRT từ một trong các trang web Microsoft sau:
Đọc bài viết hỗ trợ Micosoft này: Thông báo vi-rút về sâu Win32 / Conficker.B
CẬP NHẬT:
Có trang web này mà bạn có thể mở. Nó sẽ đưa ra cảnh báo nếu có dấu hiệu của conficker trên máy: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
Tôi gần như đã quên đề cập đến phương pháp "trực quan" rất hay này: Biểu đồ mắt Conficker (Tôi không chắc liệu nó có hoạt động trong tương lai với phiên bản sửa đổi của virus không) - Tôi không chắc liệu nó có còn hoạt động đúng không (cập nhật 06 / 2009):
Nếu bạn có thể thấy tất cả sáu hình ảnh ở cả hai hàng của bảng trên cùng, bạn sẽ không bị lây nhiễm bởi Conficker hoặc bạn có thể đang sử dụng máy chủ proxy, trong trường hợp đó bạn sẽ không thể sử dụng thử nghiệm này để đưa ra quyết định chính xác, vì Conficker sẽ không thể chặn bạn xem các trang AV / bảo mật.
Máy quét mạng
Máy quét mạng Worm Conficker miễn phí của eEye:
Con sâu Conficker sử dụng nhiều vectơ tấn công để truyền và nhận tải trọng, bao gồm: lỗ hổng phần mềm (ví dụ MS08-067), thiết bị đa phương tiện di động (ví dụ ổ USB và ổ cứng), cũng như tận dụng điểm yếu của điểm cuối (ví dụ: mật khẩu yếu hệ thống kích hoạt mạng). Con sâu Conficker cũng sẽ sinh ra các cửa hậu truy cập từ xa trên hệ thống và cố gắng tải thêm phần mềm độc hại để tiếp tục lây nhiễm máy chủ.
Tải xuống tại đây: http://www.eeye.com/html/doads/other/ConfickerScanner.html
Cũng xem tài nguyên này ("máy quét mạng"): http: //iv.cs.uni-bonn. de / wg / cs / ứng dụng / chứa-conficker / . Tìm kiếm "Trình quét mạng" và, nếu bạn đang chạy Windows:
Florian Roth đã biên soạn một phiên bản Windows có sẵn để tải xuống từ trang web của mình [liên kết trực tiếp đến tải xuống zip] .
Có một công cụ Python có tên SCS mà bạn có thể khởi chạy từ máy trạm của mình và bạn có thể tìm thấy nó ở đây: http://iv.cs.uni-bonn.de/wg/cs/appluggest/contained-conficker/
Nó đi theo cách này trên máy trạm của tôi:
Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>
andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80
----------------------------------
Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------
No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
Trang này có rất nhiều tài nguyên hữu ích, bao gồm một bản tóm tắt trực quan nhanh về việc bạn có bị nhiễm ...
OpenDNS sẽ cảnh báo các PC mà nó cho là bị nhiễm. Mặc dù như splattne đã nói, MSRT rất có thể là lựa chọn tốt nhất.
Chúng tôi hiện đang tìm thấy chúng bằng cách nhận thấy máy nào được liệt kê trong nhật ký sự kiện của các máy khác vì vi phạm chính sách LSA. Cụ thể IN Nhật ký sự kiện Nguồn LsaSrv lỗi 6033. Máy tạo các kết nối phiên ẩn danh đang bị từ chối bị nhiễm conficker.