A maioria dos conselhos de descoberta de malware está focada em fazer com que os usuários executem verificações de segurança em seus computadores ... você não menciona suas circunstâncias exatas, mas parece que você está executando uma rede escolar de algum tipo? O que, claro, adiciona uma camada maravilhosa de tapa na cabeça para resolver o problema, pois causará todo tipo de frustração adicional.
Portanto, a primeira abordagem a tentar é a educação dos usuários. Cartazes, anúncios, etc. É claro que a maioria dos usuários provavelmente ignorará isso, mas pode aumentar a conscientização. Visto que o Torpig aparentemente desativa o software antivírus, conscientiza os usuários sobre os efeitos desse malware (rouba informações bancárias) e fornece links para scanners online e patrocina a distribuição de discos gravados de software de detecção de malware inicializável ou patrocina eventos de verificação de vírus no campus vá para dormitórios e escaneie ou traga laptops para um local para verificação de malware gratuita. Com as devidas renúncias de responsabilidade pelos efeitos de eliminar o malware, é claro.
Em seguida, eu investigaria os roteadores. Os roteadores decentes devem ter a capacidade de reportar tráfego de rede via SNMP, e você pode verificar se há padrões de tráfego incomuns. Você deve saber quando há picos incomuns no tráfego ou verificar anomalias, e alguns softwares podem alertá-lo sobre atividades incomuns. Alguns chefes podem ver isso como uma perda de tempo, verificando relatórios e status de equipamentos que parecem estar funcionando bem. Na minha opinião, nunca é um desperdício estar familiarizado com o funcionamento das coisas; Às vezes, você sabe que seu carro vai ter problemas porque algo não "parece certo" ou "soa bem", o mesmo acontece com a sua rede.
Você faz proxy do seu tráfego? O que você está usando para proxy? Nós tivemos uma caixa do Squid do FreeBSD por algum tempo que detectou infecção por malware no computador de um usuário porque notei algo estranho nas tabelas ARP originadas da estação de trabalho daquele usuário; seu malware estava transmitindo todos os tipos de IPs tentando atingir outros alvos dentro de nossa própria rede e estava aparecendo em minhas verificações de status sobre a integridade do servidor proxy.
O Torpig aparentemente usa comandos HTTP para se conectar a pontos de controle. O proxy pode ajudar nisso também, se estiver registrando atividade. Se você puder encontrar alguns dos IPs aos quais o torpig se conecta, você poderá fazer o grep dos seus logs para conexões da máquina XYZ para travá-lo rapidamente. Proxies que o filtro também deve ser capaz de bloquear automaticamente o tráfego de alcançar os servidores C & C também.
Ler uma análise do bot pode ajudar você a ter algumas ideias. Consulte o link para um estudo sobre o comportamento do malware.
Outra coisa para tentar; Envie e-mail para outras universidades que tenham esse problema e pergunte o que estão fazendo para detectar o tráfego. Veja um exemplo de alguém anunciando que está analisando o tráfego de alunos e veja se você pode entrar em contato com o pessoal de TI deles; Eles provavelmente estarão dispostos a compartilhar dicas. link
Honeypots ... Eu não seria contra colocar isso em sua rede só porque parece que você tem alunos e computadores que você não pode controlar. Coloque alguns honeypots na rede, veja o que acontece. Eu não sei se o torpig será detectado com ele, mas você provavelmente achará útil ter outro malware; coloque o SNORT ou outro IDS nele e verifique-o frequentemente (e envie-lhe alertas).
A última coisa que você pode considerar, mas isso depende inteiramente da sua situação, é executar algo como o SAINT ou o Nessus em sua rede para verificar se há vulnerabilidades nas máquinas. Isso pode ser um grande problema nos recursos da sua rede, no entanto, e algumas pessoas provavelmente não apreciarão suas máquinas sendo verificadas e você poderá ter problemas se isso não estiver explicitado na política. Também depende do tamanho da sua rede.
Existem ferramentas que podem mantê-lo informado sobre o que está na sua rede, como a ferramenta da rede de especiarias e o LanSweeper.
Além disso, tudo que consigo pensar é executar uma auditoria completa de todos os servidores nos quais você tem algum controle sobre a rede, executar as ferramentas da estrutura de vulnerabilidade contra eles para auditar possíveis problemas de segurança e aperte seus roteadores de borda para restringir todas as portas de saída que não são necessárias para que os usuários tenham tráfego de saída, para que você possa restringir a atividade de malware em portas incomuns. No mínimo, você pode querer uma máquina ou dispositivo que monitore atividades incomuns de portas ímpares e envie alertas para você acompanhar e entrar em contato com outros departamentos de TI em outras escolas semelhantes às suas para ver como eles resolvem esse problema.