Şirket ağlarında Conficker bulaşmış PC'leri uzaktan bulmanın en iyi yolu nedir?

Yanıtlar:

5

En son sürümü nmap, solucanın bulaşmış makinelerdeki bağlantı noktası 139 ve bağlantı noktası 445 hizmetlerinde yaptığı neredeyse görünmez değişiklikleri algılayarak Conficker'ın tüm (geçerli) varyantlarını algılama yeteneğine sahiptir.

Bu (AFAIK), her makineyi ziyaret etmeden tüm ağınızın ağ tabanlı taramasını yapmanın en kolay yoludur.

Alnitak
kaynak
PC'nin iyi yapılandırılmış bir güvenlik duvarı varsa, 139 ve 445 bağlantı noktalarından engellenir, bu nedenle% 100 etkili değildir, ancak makinelerin çoğu tespit edilebilir.
Kazimieras Aliulis
PC iyi yapılandırılmış bir güvenlik duvarına sahip olsaydı, muhtemelen ilk etapta enfekte olmazdı ...
Alnitak
Nmap'de bulunan smb-check-vulns testlerinin belirli bölümlerinin virüs bulaşmış makinelere çarpmaya meyilli olduğunu bilmelisiniz. Bir üretim ortamında en iyi kaçınılabilir.
Dan Carley
virüslü makinelerin çökmesi bana bir kazanç gibi geliyor :) Enfekte olmamış makineleri çökertmek gerçekten kötü olurdu ...
Alnitak
11

Microsoft'un Kötü Amaçlı Yazılımları Temizleme aracını çalıştırın . Yaygın kötü amaçlı yazılımların kaldırılmasında yararlı olan bağımsız bir ikili dosyadır ve Win32 / Conficker kötü amaçlı yazılım ailesinin kaldırılmasına yardımcı olabilir.

MSRT'yi aşağıdaki Microsoft Web sitelerinden birinden indirebilirsiniz:

Bu Micosoft destek makalesini okuyun: Win32 / Conficker.B solucanı hakkında virüs uyarısı

GÜNCELLEME:

Açabileceğiniz bu web sayfası var. Makinede bir şekerleme işareti varsa bir uyarı vermelidir: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Neredeyse bu çok güzel "görsel" yaklaşımdan bahsetmeyi unuttum: Conficker Eye Chart (Virüsün değiştirilmiş versiyonu ile gelecekte çalışıp çalışmayacağından emin değilim) - Hala düzgün çalışıp çalışmadığından emin değilim (güncelleme 06 / 2009):

Üst tablonun her iki satırındaki altı görüntünün tümünü görebiliyorsanız, Conficker tarafından etkilenmezsiniz veya bir proxy sunucusu kullanıyor olabilirsiniz, bu durumda doğru bir belirleme yapmak için bu testi kullanamazsınız, çünkü Conficker AV / güvenlik sitelerini görüntülemenizi engelleyemez.

Ağ Tarayıcısı

eEye'nin Ücretsiz Conficker Solucan Ağ Tarayıcısı:

Conficker solucanı, yükleri iletmek ve almak için çeşitli saldırı vektörlerini kullanır; bunlara aşağıdakiler dahildir: yazılım güvenlik açıkları (örn. MS08-067), taşınabilir ortam aygıtları (örn. USB parmak sürücüleri ve sabit sürücüler) ve uç nokta zayıflıklarından (ör. ağ özellikli sistemler). Conficker solucanı ayrıca sistemde uzaktan erişime izin verir ve ana bilgisayarı daha fazla etkilemek için ek kötü amaçlı yazılım indirmeye çalışır.

Buradan indirin: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

Ayrıca bu kaynağa da bakın ("ağ tarayıcı"): http: //iv.cs.uni-bonn. / wg / cs / uygulamalar / içeren-conficker / . "Ağ Tarayıcısı" için arama yapın ve Windows kullanıyorsanız:

Florian Roth, web sitesinden indirilebilecek bir Windows sürümü derledi [zip-download'a doğrudan bağlantı] .

splattne
kaynak
Bilgisayarları nasıl temizleyeceğimizi değil, ağdaki bilgisayarları nasıl algılayacağımı sordum.
Kazimieras Aliulis
Kaldırma Aracı bunları ALGILAR. Güzel bir yan etki olarak, onları temizler ... ;-)
splattne
Ah, UZAKTAN? afedersiniz. Şimdi anladım.
splattne
PC'nin iyi yapılandırılmış bir güvenlik duvarı varsa, 139 ve 445 bağlantı noktalarını engeller, bu nedenle% 100 etkili değildir, ancak makinelerin çoğu tespit edilebilir. Üzücü, saldırı tespit imzaları sadece A ve B sürümleri içindir. Alan adı kontrolü de kısmen geçerli bir çözümdür.
Kazimieras Aliulis
4

İş istasyonunuzdan başlatabileceğiniz SCS adında bir Python aracı vardır ve burada bulabilirsiniz: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

İş istasyonumda şu şekilde gider:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
Andor
kaynak
Güzel bir senaryo!
Kazimieras Aliulis
1

OpenDNS bulaşmış olduğunu düşündüğü bilgisayarları uyarır. Splattne'nin dediği gibi, MSRT büyük olasılıkla en iyi seçenektir.

Adam Gibbins
kaynak
Şirket politikası OpenDNS kullanımına izin vermez, evde çözüm olmalıdır.
Kazimieras Aliulis
0

Şu anda bunları, LSA politika ihlallerine yönelik diğer makinelerin olay günlüklerinde hangi makinelerin listelendiğini fark ederek buluyoruz. Özellikle Olay günlüğünde Kaynak LsaSrv hatası 6033. Reddedilen anonim oturum bağlantılarını yapan makineye daha kötü bulaşır.

Laura Thomas
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.