Quelle est la meilleure façon de trouver à distance les PC infectés par Conficker dans les réseaux d'entreprise / FAI?
Quelle est la meilleure façon de trouver à distance les PC infectés par Conficker dans les réseaux d'entreprise / FAI?
Réponses:
La dernière version de nmap
a la capacité de détecter toutes les variantes (actuelles) de Conficker en détectant les modifications par ailleurs presque invisibles que le ver apporte aux services du port 139 et du port 445 sur les machines infectées.
C'est (AFAIK) le moyen le plus simple d'effectuer une analyse réseau de l'ensemble de votre réseau sans visiter chaque machine.
Exécutez l' outil de suppression des logiciels malveillants de Microsoft . Il s'agit d'un binaire autonome qui est utile pour supprimer les logiciels malveillants répandus, et il peut aider à supprimer la famille de logiciels malveillants Win32 / Conficker.
Vous pouvez télécharger le MSRT à partir de l'un des sites Web Microsoft suivants:
Lisez cet article de support Micosoft: Alerte de virus sur le ver Win32 / Conficker.B
METTRE À JOUR:
Il y a cette page Web que vous pouvez ouvrir. Il devrait donner un avertissement s'il y a un signe de conficker sur la machine: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
J'ai presque oublié de mentionner cette très belle approche "visuelle": Conficker Eye Chart (je ne sais pas si cela fonctionnera à l'avenir avec une version modifiée du virus) - je ne sais pas si cela fonctionne toujours correctement (mise à jour 06 / 2009):
Si vous pouvez voir les six images dans les deux lignes du tableau supérieur, soit vous n'êtes pas infecté par Conficker, soit vous utilisez un serveur proxy, auquel cas vous ne pourrez pas utiliser ce test pour effectuer une détermination précise, car Conficker ne pourra pas vous empêcher de visualiser les sites AV / sécurité.
Scanner réseau
Scanner de réseau à ver Conficker gratuit d'eEye:
Le ver Conficker utilise une variété de vecteurs d'attaque pour transmettre et recevoir des charges utiles, notamment: des vulnérabilités logicielles (par exemple MS08-067), des périphériques multimédias portables (par exemple, des clés USB et des disques durs), ainsi que des faiblesses des points d'extrémité (par exemple, des mots de passe faibles sur systèmes compatibles réseau). Le ver Conficker générera également des portes dérobées d'accès à distance sur le système et tentera de télécharger des logiciels malveillants supplémentaires pour infecter davantage l'hôte.
Téléchargez ici: http://www.eeye.com/html/downloads/other/ConfickerScanner.html
Regardez également cette ressource ("scanner réseau"): http: //iv.cs.uni-bonn. de / wg / cs / applications / contenant-conficker / . Recherchez «Network Scanner» et, si vous utilisez Windows:
Florian Roth a compilé une version Windows qui peut être téléchargée à partir de son site Web [lien direct vers le téléchargement zip] .
Il existe un outil Python appelé SCS que vous pouvez lancer à partir de votre poste de travail, et vous pouvez le trouver ici: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/
Il en va ainsi sur mon poste de travail:
Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>
andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80
----------------------------------
Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------
No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
Cette page contient de nombreuses ressources utiles, y compris un résumé visuel rapide de votre infection ...
OpenDNS avertira les PC qu'il pense infectés. Bien que, comme l'a dit Splattne, MSRT est probablement la meilleure option.
Nous les trouvons actuellement en remarquant quelles machines sont répertoriées dans les journaux d'événements d'autres machines pour les violations de stratégie LSA. Plus précisément dans l'erreur 6033 LsaSrv du journal des événements source. La machine qui établit les connexions de session anonymes qui sont refusées est infectée par le conficker.