회사 네트워크에서 Conficker에 감염된 PC를 원격으로 찾는 가장 좋은 방법은 무엇입니까? / ISP 네트워크에서

회사 / ISP 네트워크에서 Conficker 감염 PC를 원격으로 찾는 가장 좋은 방법은 무엇입니까?



답변

최신 버전의 nmap웜은 웜이 감염된 시스템의 포트 139 및 포트 445 서비스에 대해 거의 보이지 않는 변경 사항을 감지하여 Conficker의 모든 (현재) 변형을 탐지 할 수 있습니다.

이것은 (AFAIK) 각 컴퓨터를 방문하지 않고 전체 네트워크의 네트워크 기반 스캔을 수행하는 가장 쉬운 방법입니다.


답변

Microsoft의 악성 소프트웨어 제거 도구를 실행하십시오 . 널리 사용되는 악성 소프트웨어를 제거하는 데 유용한 독립 실행 형 바이너리이며 Win32 / Conficker 맬웨어 제품군을 제거하는 데 도움이됩니다.

다음 Microsoft 웹 사이트 중 하나에서 MSRT를 다운로드 할 수 있습니다.

이 Micosoft 지원 문서 읽기 : Win32 / Conficker.B 웜에 대한 바이러스 경고

최신 정보:

열 수있는이 웹 페이지가 있습니다. 컴퓨터에 conficker 표시가 있으면 경고 메시지가 표시됩니다. http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

나는이 매우 훌륭한 “시각적”접근 방식을 언급하는 것을 거의 잊었다. Conficker Eye Chart (향후 수정 된 바이러스 버전에서 향후 작동하는지 확실하지 않음) / 2009) :

상단 표의 두 행에 6 개의 이미지가 모두 표시되면 Conficker에 감염되지 않았거나 프록시 서버를 사용 중일 수 있습니다.이 경우이 테스트를 사용하여 정확한 결정을 내릴 수 없습니다. Conficker는 AV / 보안 사이트를 보지 못하게 차단할 수 없습니다.

네트워크 스캐너

eEye의 무료 Conficker 웜 네트워크 스캐너 :

Conficker 웜은 소프트웨어 취약성 (예 : MS08-067), 휴대용 미디어 장치 (예 : USB 썸 드라이브 및 하드 드라이브) 및 엔드 포인트 취약점 (예 : 취약한 암호 네트워크 가능 시스템). Conficker 웜은 시스템에서 원격 액세스 백도어를 생성하고 호스트를 추가로 감염시키기 위해 추가 맬웨어를 다운로드하려고 시도합니다.

여기에서 다운로드하십시오 : http://www.eeye.com/html/downloads/other/ConfickerScanner.html

이 리소스 ( “네트워크 스캐너”)도 참조하십시오 : http : //iv.cs.uni-bonn. de / wg / cs / applications / include-conficker / . “네트워크 스캐너”를 검색하고 Windows를 실행중인 경우 :

Florian Roth는 자신의 웹 사이트에서 다운로드 할 수있는 Windows 버전 [zip-download로 직접 연결] 을 컴파일했습니다 .


답변

이 워크 스테이션에서 실행 할 수있는 SCS라는 파이썬 도구입니다, 당신은 그것을 여기에서 찾을 수 있습니다 http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

내 워크 스테이션에서 이런 식으로 진행됩니다.

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.


답변

이 페이지에는 감염 여부에 대한 간단한 시각적 요약을 포함하여 많은 유용한 리소스가 있습니다.

http://www.confickerworkinggroup.org/wiki/


답변

OpenDNS는 감염된 PC에 대해 경고합니다. splattne이 말했듯이 MSRT가 가장 좋은 옵션 일 것입니다.


답변

현재 LSA 정책 위반에 대해 다른 시스템의 이벤트 로그에 어떤 시스템이 나열되어 있는지 확인하여 해당 시스템을 찾고 있습니다. 특히 이벤트 로그 소스에서 LsaSrv 오류 6033이 발생합니다. 거부되는 익명 세션 연결을 만드는 시스템이 conficker에 감염되었습니다.


답변