企業のネットワークでConfickerに感染したPCをリモートで見つけるための最良の方法は何ですか?


回答:


5

最新バージョンのnmapは、感染したマシンのポート139およびポート445サービスに対してワームが行う、ほとんど目に見えない変更を検出することにより、Confickerのすべての(現在の)バリアントを検出する機能を備えています。

これは(AFAIK)各マシンにアクセスせずにネットワーク全体のネットワークベースのスキャンを実行する最も簡単な方法です。


PCに適切に構成されたファイアウォールがある場合、139ポートと445ポートからブロックされるため、100%効果的ではありませんが、ほとんどのマシンを検出できます。
Kazimieras Aliulis、2009年

PCのファイアウォールが適切に構成されていれば、おそらくそもそも感染していなかっただろう...
アルニタク

nmapに含まれるsmb-check-vulnsテストの特定の部分は、感染したマシンをクラッシュさせる可能性があることに注意してください。これは本番環境では回避するのが最善です。
Dan Carley、

感染したマシンをクラッシュさせることは、私にとっては勝利のように聞こえます:)感染していないマシンをクラッシュさせることは本当に悪いことです...
Alnitak

11

Microsoftの悪意のあるソフトウェアの削除ツールを実行します。これは、蔓延している悪意のあるソフトウェアの削除に役立つスタンドアロンバイナリであり、Win32 / Confickerマルウェアファミリの削除に役立ちます。

MSRTは、次のマイクロソフトWebサイトのいずれかからダウンロードできます。

このMicosoftサポート記事を読む:Win32 / Conficker.Bワームに関するウイルス警告

更新:

あなたが開くことができるこのウェブページがあります。マシン上のConfickerの兆候がある場合には、警告を与える必要があります。http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

私はこの非常に優れた「視覚的」アプローチを言及するのをほとんど忘れていました:Conficker Eye Chart(ウイルスの修正バージョンで将来機能するかどうかはわかりません)-それでも適切に機能するかどうかわかりません(アップデート06 / 2009):

上の表の両方の行に6つすべての画像が表示される場合は、Confickerに感染していないか、プロキシサーバーを使用している可能性があります。この場合、このテストを使用して正確な判断を行うことはできません。 ConfickerがAV /セキュリティサイトの表示をブロックできないためです。

ネットワークスキャナー

eEyeの無料のConfickerワームネットワークスキャナー:

Confickerワームは、ソフトウェアの脆弱性(MS08-067など)、ポータブルメディアデバイス(USBサムドライブやハードドライブなど)、エンドポイントの脆弱性(弱いパスワードなど)を利用して、ペイロードを送受信するさまざまな攻撃ベクトルを利用します。ネットワーク対応システム)。Confickerワームは、システムにリモートアクセスバックドアを生成し、追加のマルウェアをダウンロードしてホストにさらに感染しようとします。

ここからダウンロード:http : //www.eeye.com/html/downloads/other/ConfickerScanner.html

このリソース(「ネットワークスキャナー」)も参照してください:http://iv.cs.uni-bonn。de / wg / cs / applications / closing-conficker /。「ネットワークスキャナー」を検索し、Windowsを実行している場合:

Florian Rothは、彼のウェブサイト [zip-downloadへの直接リンク] からダウンロードできるWindowsバージョンをコンパイルしました。


PCをクリアする方法ではなく、ネットワーク内のPCを検出する方法を尋ねました。
Kazimieras Aliulis、2009年

駆除ツールはそれらを検出しません。良い副作用として、それはそれらをクリアします... ;-)
splattne

ああ、あなたはREMOTELYを意味しますか?ごめんなさい。今分かります。
splattne

PCに適切に構成されたファイアウォールがある場合、139ポートと445ポートがブロックされるため、100%効果的ではありませんが、ほとんどのマシンを検出できます。残念なことに、侵入検知シグネチャはAバージョンとBバージョンのみです。ドメインチェックも、一部は実行可能なソリューションです。
Kazimieras Aliulis、2009年

4

そこには、ワークステーションから起動できることをSCSと呼ばれるPythonのツールであり、あなたはここでそれを見つけることができます。http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

それは私のワークステーションでこのようになります:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.

それは素晴らしいスクリプトです!
Kazimieras Aliulis、2009年


1

OpenDNSは、感染していると思われるPCについて警告します。splattneが言ったように、MSRTはおそらく最良のオプションです。


会社のポリシーでは、OpenDNSを使用することは許可されていません。
Kazimieras Aliulis、2009年

0

現在、LSAポリシー違反について、どのマシンが他のマシンのイベントログにリストされているかに気づいてそれらを見つけています。具体的には、イベントログのソースLsaSrvエラー6033です。拒否されている匿名セッション接続を行っているマシンは、confickerに感染しています。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.