Quelle est la meilleure façon de trouver à distance les PC infectés par Conficker dans les réseaux d'entreprise?

10

Quelle est la meilleure façon de trouver à distance les PC infectés par Conficker dans les réseaux d'entreprise / FAI?

Kazimieras Aliulis
la source

Réponses:

5

La dernière version de nmapa la capacité de détecter toutes les variantes (actuelles) de Conficker en détectant les modifications par ailleurs presque invisibles que le ver apporte aux services du port 139 et du port 445 sur les machines infectées.

C'est (AFAIK) le moyen le plus simple d'effectuer une analyse réseau de l'ensemble de votre réseau sans visiter chaque machine.

Alnitak
la source
Si le PC a un pare-feu bien configuré, il bloquera les ports 139 et 445, il n'est donc pas efficace à 100%, mais la plupart des machines peuvent être détectées.
Kazimieras Aliulis
Si le PC avait un pare-feu bien configuré, il n'aurait probablement pas été infecté en premier lieu ...
Alnitak
Vous devez savoir que certaines parties des tests smb-check-vulns inclus dans nmap sont susceptibles de planter les machines infectées. Ce qui peut être mieux évité dans un environnement de production.
Dan Carley
planter des machines infectées sonne comme une victoire, pour moi :) Crasher des machines non infectées serait vraiment mauvais, cependant ...
Alnitak
11

Exécutez l' outil de suppression des logiciels malveillants de Microsoft . Il s'agit d'un binaire autonome qui est utile pour supprimer les logiciels malveillants répandus, et il peut aider à supprimer la famille de logiciels malveillants Win32 / Conficker.

Vous pouvez télécharger le MSRT à partir de l'un des sites Web Microsoft suivants:

Lisez cet article de support Micosoft: Alerte de virus sur le ver Win32 / Conficker.B

METTRE À JOUR:

Il y a cette page Web que vous pouvez ouvrir. Il devrait donner un avertissement s'il y a un signe de conficker sur la machine: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

J'ai presque oublié de mentionner cette très belle approche "visuelle": Conficker Eye Chart (je ne sais pas si cela fonctionnera à l'avenir avec une version modifiée du virus) - je ne sais pas si cela fonctionne toujours correctement (mise à jour 06 / 2009):

Si vous pouvez voir les six images dans les deux lignes du tableau supérieur, soit vous n'êtes pas infecté par Conficker, soit vous utilisez un serveur proxy, auquel cas vous ne pourrez pas utiliser ce test pour effectuer une détermination précise, car Conficker ne pourra pas vous empêcher de visualiser les sites AV / sécurité.

Scanner réseau

Scanner de réseau à ver Conficker gratuit d'eEye:

Le ver Conficker utilise une variété de vecteurs d'attaque pour transmettre et recevoir des charges utiles, notamment: des vulnérabilités logicielles (par exemple MS08-067), des périphériques multimédias portables (par exemple, des clés USB et des disques durs), ainsi que des faiblesses des points d'extrémité (par exemple, des mots de passe faibles sur systèmes compatibles réseau). Le ver Conficker générera également des portes dérobées d'accès à distance sur le système et tentera de télécharger des logiciels malveillants supplémentaires pour infecter davantage l'hôte.

Téléchargez ici: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

Regardez également cette ressource ("scanner réseau"): http: //iv.cs.uni-bonn. de / wg / cs / applications / contenant-conficker / . Recherchez «Network Scanner» et, si vous utilisez Windows:

Florian Roth a compilé une version Windows qui peut être téléchargée à partir de son site Web [lien direct vers le téléchargement zip] .

splattne
la source
J'ai demandé comment détecter les PC dans le réseau, pas comment les effacer.
Kazimieras Aliulis
L'outil de suppression les détecte. Comme un bel effet secondaire, il les efface ... ;-)
splattne
Ah, tu veux dire À DISTANCE? Désolé. Maintenant, je comprends.
splattne
Si le PC a un pare-feu bien configuré, il bloquera les ports 139 et 445, il n'est donc pas efficace à 100%, mais la plupart des machines peuvent être détectées. Malheureusement, les signatures de détection d'intrusion ne sont destinées qu'aux versions A et B. La vérification de domaine est également en partie une solution viable.
Kazimieras Aliulis
4

Il existe un outil Python appelé SCS que vous pouvez lancer à partir de votre poste de travail, et vous pouvez le trouver ici: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Il en va ainsi sur mon poste de travail:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
Andor
la source
C'est un joli script!
Kazimieras Aliulis
1

OpenDNS avertira les PC qu'il pense infectés. Bien que, comme l'a dit Splattne, MSRT est probablement la meilleure option.

Adam Gibbins
la source
La politique de l'entreprise ne permet pas d'utiliser OpenDNS, il doit être une solution à domicile.
Kazimieras Aliulis
0

Nous les trouvons actuellement en remarquant quelles machines sont répertoriées dans les journaux d'événements d'autres machines pour les violations de stratégie LSA. Plus précisément dans l'erreur 6033 LsaSrv du journal des événements source. La machine qui établit les connexions de session anonymes qui sont refusées est infectée par le conficker.

Laura Thomas
la source