it-swarm-ko.tech

원격으로 회사 네트워크에서 Conficker에 감염된 PC를 찾는 가장 좋은 방법은 무엇입니까?

회사/ISP 네트워크에서 Conficker에 감염된 PC를 원격으로 찾는 가장 좋은 방법은 무엇입니까?

10

nmap 의 최신 버전은 웜이 감염된 포트 139 및 포트 445 서비스에 대해 거의 보이지 않는 변경 사항을 탐지하여 Conficker의 모든 (현재) 변종을 탐지 할 수 있습니다. 기계.

이것은 (AFAIK) 각 컴퓨터를 방문하지 않고 전체 네트워크의 네트워크 기반 스캔을 수행하는 가장 쉬운 방법입니다.

5
Alnitak

Microsoft의 악성 소프트웨어 제거 도구 를 실행합니다. 널리 퍼져있는 악성 소프트웨어를 제거하는 데 유용한 독립 실행 형 바이너리이며 Win32/Conficker 맬웨어 계열을 제거하는 데 도움이 될 수 있습니다.

다음 Microsoft 웹 사이트 중 하나에서 MSRT를 다운로드 할 수 있습니다.

이 Micosoft 지원 문서를 읽으십시오. Win32/Conficker.B 웜에 대한 바이러스 경고

업데이트 :

열 수있는 웹 페이지가 있습니다. 컴퓨터에 conficker 표시가 있으면 경고를 표시해야합니다. http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

이 아주 멋진 "시각적"접근 방식을 언급하는 것을 거의 잊었습니다. Conficker Eye Chart (이 바이러스의 수정 된 버전으로 향후 작동할지 확실하지 않습니다)-확실하지 않습니다. 여전히 제대로 작동합니다 (2009 년 6 월 업데이트) :

상단 테이블의 두 행에서 6 개의 이미지를 모두 볼 수 있다면 Conficker에 감염되지 않았거나 프록시 서버를 사용 중일 수 있습니다.이 경우이 테스트를 사용하여 정확한 결정을 내릴 수 없습니다. Conficker는 AV/보안 사이트를 보는 것을 차단할 수 없기 때문입니다.

네트워크 스캐너

eEye의 무료 Conficker 웜 네트워크 스캐너 :

Conficker 웜은 다양한 공격 벡터를 활용하여 소프트웨어 취약점 (예 : MS08-067), 휴대용 미디어 장치 (예 : USB 썸 드라이브 및 하드 드라이브), 엔드 포인트 약점 (예 : 약한 암호 네트워크 지원 시스템). Conficker 웜은 또한 시스템에 원격 액세스 백도어를 생성하고 추가 맬웨어를 다운로드하여 호스트를 더 감염 시키려고 시도합니다.

여기에서 다운로드하십시오 : http://www.eeye.com/html/downloads/other/ConfickerScanner.html

이 리소스 ( "네트워크 스캐너")도보십시오. http : //iv.cs.uni-bonn. de/wg/cs/applications/tained-conficker / . "네트워크 스캐너"를 검색하고 Windows를 실행하는 경우 :

Florian Roth는 다운로드 할 수있는 Windows 버전을 컴파일했습니다. 자신의 웹 사이트에서[Zip-download에 대한 직접 링크].

11
splattne

워크 스테이션에서 실행할 수있는 Python SCS라는 도구가 있으며 여기에서 찾을 수 있습니다. http://iv.cs.uni-bonn.de/wg)/cs/applications/containing-conficker /

내 워크 스테이션에서 다음과 같이 진행됩니다.

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

[email protected]:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
4
Andor

이 페이지에는 감염 여부에 대한 빠른 시각적 요약을 포함하여 유용한 리소스가 많이 있습니다.

http://www.confickerworkinggroup.org/wiki/

3
cagcowboy

OpenDNS는 감염된 것으로 생각되는 PC에 대해 경고합니다. splattne이 말했듯이 MSRT가 최선의 선택 일 가능성이 큽니다.

1
Adam Gibbins

우리는 현재 LSA 정책 위반에 대해 다른 시스템의 이벤트 로그에 어떤 시스템이 나열되어 있는지 확인하여이를 찾고 있습니다. 특히 이벤트 로그 소스 LsaSrv 오류 6033에 있습니다. 거부되는 익명 세션 연결을 만드는 컴퓨터는 conficker 감염입니다.

0
Laura Thomas