Qual é a melhor maneira de encontrar remotamente PCs infectados com o Conficker nas redes da empresa / ISP?
A versão mais recente do nmap tem a capacidade de detectar todas as variantes (atuais) do Conficker, detectando as alterações quase invisíveis que o o worm faz os serviços da porta 139 e da porta 445 em máquinas infectadas.
Esta é (AFAIK) a maneira mais fácil de fazer uma varredura baseada em rede de toda a sua rede sem visitar cada máquina.
Execute a ferramenta de remoção de software mal-intencionado da Microsoft . É um binário autónomo que é útil na remoção de software malicioso prevalecente e pode ajudar a remover a família de malware Win32 / Conficker.
Você pode baixar o MSRT de um dos seguintes sites da Microsoft:
Leia este artigo de suporte da Micosoft: Alerta de vírus sobre o worm Win32 / Conficker.B
ATUALIZAÇÃO:
Existe esta página web que você pode abrir. Deve dar um aviso se houver um sinal de conficker na máquina: link
Quase esqueci de mencionar essa abordagem "visual" muito agradável: Gráfico de olhos do Conficker (não estou certeza se funcionará no futuro com a versão modificada do vírus) - Não tenho certeza se ainda funciona corretamente (atualização 06/2009):
If you can see all six images in both rows of the top table, you are either not infected by Conficker, or you may be using a proxy server, in which case you will not be able to use this test to make an accurate determination, since Conficker will be unable to block you from viewing the AV/security sites.
Scanner de rede
Verificador gratuito de rede Conficker Worm do eEye:
The Conficker worm utilizes a variety of attack vectors to transmit and receive payloads, including: software vulnerabilities (e.g. MS08-067), portable media devices (e.g. USB thumb drives and hard drives), as well as leveraging endpoint weaknesses (e.g. weak passwords on network-enabled systems). The Conficker worm will also spawn remote access backdoors on the system and attempt to download additional malware to further infect the host.
Faça o download aqui: link
Veja também este recurso ("scanner de rede"): link . Procure por "Network Scanner" e, se você estiver executando o Windows:
Florian Roth has compiled a Windows version which is available for download from his website [direct link to zip-download].
Existe uma ferramenta Python chamada SCS que você pode iniciar a partir da sua estação de trabalho, e você pode encontrá-la aqui: link
Funciona assim na minha estação de trabalho:
Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>
andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80
----------------------------------
Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------
No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
Esta página tem muitos recursos úteis, incluindo um rápido resumo visual de se você está infectado ...
O OpenDNS irá avisar dos PCs que acha que estão infectados. Embora, como disse splattne, a MSRT seja provavelmente a melhor opção.
Atualmente, estamos localizando-os observando quais máquinas estão listadas nos registros de eventos de outras máquinas para violações da política de LSA. Especificamente no erro LsaSrv de origem de log de eventos 6033. A máquina que faz as conexões de sessão anônima que estão sendo negadas é conficker infectado.
Tags networking security malware