企業のネットワークでConfickerに感染したPCをリモートで見つけるための最良の方法は何ですか？

企業/ ISPネットワークでConfickerに感染したPCをリモートで見つけるための最良の方法は何ですか？

最新バージョンのnmapは、感染したマシンのポート139およびポート445サービスに対してワームが行う、ほとんど目に見えない変更を検出することにより、Confickerのすべての（現在の）バリアントを検出する機能を備えています。

これは（AFAIK）各マシンにアクセスせずにネットワーク全体のネットワークベースのスキャンを実行する最も簡単な方法です。

Microsoftの悪意のあるソフトウェアの削除ツールを実行します。これは、蔓延している悪意のあるソフトウェアの削除に役立つスタンドアロンバイナリであり、Win32 / Confickerマルウェアファミリの削除に役立ちます。

MSRTは、次のマイクロソフトWebサイトのいずれかからダウンロードできます。

• http://www.update.microsoft.com
• http://support.microsoft.com/kb/890830

このMicosoftサポート記事を読む：Win32 / Conficker.Bワームに関するウイルス警告

更新：

あなたが開くことができるこのウェブページがあります。マシン上のConfickerの兆候がある場合には、警告を与える必要があります。http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

私はこの非常に優れた「視覚的」アプローチを言及するのをほとんど忘れていました：Conficker Eye Chart（ウイルスの修正バージョンで将来機能するかどうかはわかりません）-それでも適切に機能するかどうかわかりません（アップデート06 / 2009）：

上の表の両方の行に6つすべての画像が表示される場合は、Confickerに感染していないか、プロキシサーバーを使用している可能性があります。この場合、このテストを使用して正確な判断を行うことはできません。 ConfickerがAV /セキュリティサイトの表示をブロックできないためです。

ネットワークスキャナー

eEyeの無料のConfickerワームネットワークスキャナー：

Confickerワームは、ソフトウェアの脆弱性（MS08-067など）、ポータブルメディアデバイス（USBサムドライブやハードドライブなど）、エンドポイントの脆弱性（弱いパスワードなど）を利用して、ペイロードを送受信するさまざまな攻撃ベクトルを利用します。ネットワーク対応システム）。Confickerワームは、システムにリモートアクセスバックドアを生成し、追加のマルウェアをダウンロードしてホストにさらに感染しようとします。

ここからダウンロード：http : //www.eeye.com/html/downloads/other/ConfickerScanner.html

このリソース（「ネットワークスキャナー」）も参照してください：http：//iv.cs.uni-bonn。de / wg / cs / applications / closing-conficker /。「ネットワークスキャナー」を検索し、Windowsを実行している場合：

Florian Rothは、彼のウェブサイト [zip-downloadへの直接リンク] からダウンロードできるWindowsバージョンをコンパイルしました。

そこには、ワークステーションから起動できることをSCSと呼ばれるPythonのツールであり、あなたはここでそれを見つけることができます。http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

それは私のワークステーションでこのようになります：

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.

このページには、感染しているかどうかの簡単な視覚的要約など、多くの役立つリソースがあります...

http://www.confickerworkinggroup.org/wiki/

OpenDNSは、感染していると思われるPCについて警告します。splattneが言ったように、MSRTはおそらく最良のオプションです。

現在、LSAポリシー違反について、どのマシンが他のマシンのイベントログにリストされているかに気づいてそれらを見つけています。具体的には、イベントログのソースLsaSrvエラー6033です。拒否されている匿名セッション接続を行っているマシンは、confickerに感染しています。