회사 네트워크에서 Conficker에 감염된 PC를 원격으로 찾는 가장 좋은 방법은 무엇입니까?


답변:


5

최신 버전의 nmap웜은 웜이 감염된 시스템의 포트 139 및 포트 445 서비스에 대해 거의 보이지 않는 변경 사항을 감지하여 Conficker의 모든 (현재) 변형을 탐지 할 수 있습니다.

이것은 (AFAIK) 각 컴퓨터를 방문하지 않고 전체 네트워크의 네트워크 기반 스캔을 수행하는 가장 쉬운 방법입니다.


pc에 방화벽이 올바르게 구성되어 있으면 139 및 445 포트에서 차단되므로 100 % 효과적이지 않지만 대부분의 시스템을 탐지 할 수 있습니다.
Kazimieras Aliulis

PC에 방화벽이 제대로 구성되어 있다면 처음에는 감염되지 않았을 것입니다.
Alnitak

nmap에 포함 된 smb-check-vulns 테스트의 특정 부분은 감염된 시스템과 충돌 할 수 있습니다. 프로덕션 환경에서는 피하는 것이 가장 좋습니다.
Dan Carley

나에게 승리처럼 감염된 컴퓨터의 소리를 충돌하는 것은 :) 감염되지 않은 시스템을 충돌하는 것은 진짜로 나쁜,하지만 것 ...
알니 타크

11

Microsoft의 악성 소프트웨어 제거 도구를 실행하십시오 . 널리 사용되는 악성 소프트웨어를 제거하는 데 유용한 독립 실행 형 바이너리이며 Win32 / Conficker 맬웨어 제품군을 제거하는 데 도움이됩니다.

다음 Microsoft 웹 사이트 중 하나에서 MSRT를 다운로드 할 수 있습니다.

이 Micosoft 지원 문서 읽기 : Win32 / Conficker.B 웜에 대한 바이러스 경고

최신 정보:

열 수있는이 웹 페이지가 있습니다. 컴퓨터에 conficker 표시가 있으면 경고 메시지가 표시됩니다. http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

나는이 매우 훌륭한 "시각적"접근 방식을 언급하는 것을 거의 잊었다. Conficker Eye Chart (향후 수정 된 바이러스 버전에서 향후 작동하는지 확실하지 않음) / 2009) :

상단 표의 두 행에 6 개의 이미지가 모두 표시되면 Conficker에 감염되지 않았거나 프록시 서버를 사용 중일 수 있습니다.이 경우이 테스트를 사용하여 정확한 결정을 내릴 수 없습니다. Conficker는 AV / 보안 사이트를 보지 못하게 차단할 수 없습니다.

네트워크 스캐너

eEye의 무료 Conficker 웜 네트워크 스캐너 :

Conficker 웜은 소프트웨어 취약성 (예 : MS08-067), 휴대용 미디어 장치 (예 : USB 썸 드라이브 및 하드 드라이브) 및 엔드 포인트 취약점 (예 : 취약한 암호 네트워크 가능 시스템). Conficker 웜은 시스템에서 원격 액세스 백도어를 생성하고 호스트를 추가로 감염시키기 위해 추가 맬웨어를 다운로드하려고 시도합니다.

여기에서 다운로드하십시오 : http://www.eeye.com/html/downloads/other/ConfickerScanner.html

이 리소스 ( "네트워크 스캐너")도 참조하십시오 : http : //iv.cs.uni-bonn. de / wg / cs / applications / include-conficker / . "네트워크 스캐너"를 검색하고 Windows를 실행중인 경우 :

Florian Roth는 자신의 웹 사이트에서 다운로드 할 수있는 Windows 버전 [zip-download로 직접 연결] 을 컴파일했습니다 .


네트워크에서 PC를 감지하는 방법이 아니라 PC를 감지하는 방법을 물었습니다.
Kazimieras Aliulis

제거 도구가이를 감지합니다. 좋은 부작용으로, 그것들을 지 웁니다 ... ;-)
splattne

아, 당신은 원격 의미합니까? 죄송합니다. 지금은 이해.
splattne

pc에 방화벽이 올바르게 구성되어 있으면 139 및 445 포트를 차단하므로 100 % 효과적이지 않지만 대부분의 시스템을 탐지 할 수 있습니다. 안타깝게도 침입 탐지 시그니처는 A 및 B 버전 전용입니다. 도메인 확인도 부분적으로 실행 가능한 솔루션입니다.
Kazimieras Aliulis

4

이 워크 스테이션에서 실행 할 수있는 SCS라는 파이썬 도구입니다, 당신은 그것을 여기에서 찾을 수 있습니다 http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

내 워크 스테이션에서 이런 식으로 진행됩니다.

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.

좋은 스크립트입니다!
Kazimieras Aliulis


1

OpenDNS는 감염된 PC에 대해 경고합니다. splattne이 말했듯이 MSRT가 가장 좋은 옵션 일 것입니다.


회사 정책에 따라 OpenDNS를 사용할 수 없으며 가정용 솔루션이어야합니다.
Kazimieras Aliulis

0

현재 LSA 정책 위반에 대해 다른 시스템의 이벤트 로그에 어떤 시스템이 나열되어 있는지 확인하여 해당 시스템을 찾고 있습니다. 특히 이벤트 로그 소스에서 LsaSrv 오류 6033이 발생합니다. 거부되는 익명 세션 연결을 만드는 시스템이 conficker에 감염되었습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.