在公司/ ISPnetworking中远程查找受Conficker感染的PC的最佳方式是什么?
最新版本的nmap能够通过检测蠕虫对被感染机器上的端口139和端口445服务进行的几乎看不见的变化来检测Conficker的所有(当前)变体。
这是(AFAIK)最简单的方法来做一个基于networking的扫描整个networking,而不必访问每台机器。
运行Microsoft的恶意软件删除工具 。 这是一个独立的二进制文件,可用于删除stream行的恶意软件,它可以帮助删除Win32 / Conficker恶意软件系列。
您可以从以下任一Microsoft网站下载MSRT:
阅读这篇Micosoft支持文章: 有关Win32 / Conficker.B蠕虫的病毒警报
更新:
有这个网页,你可以打开。 如果机器上有conficker的标志,应该给出警告: http : //four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
我几乎忘了提到这个非常好的“视觉”方法: Conficker眼图 (我不知道它是否将在未来修改版本的病毒) – 我不知道它是否仍然正常工作(更新06 / 2009):
如果您可以在顶层表格的两行中看到所有六个图像,则您不会被Conficker感染,也可能正在使用代理服务器,在这种情况下,您将无法使用此testing来做出准确的判定,因为Conficker将无法阻止您查看AV /安全网站。
networking扫描仪
eEye的免费Conficker蠕虫networking扫描仪:
Conficker蠕虫利用各种攻击媒介传输和接收有效载荷,包括:软件漏洞(如MS08-067),便携式媒体设备(如USB拇指驱动器和硬盘驱动器),以及利用端点的弱点(例如弱密码networking系统)。 Conficker蠕虫还会在系统上产生远程访问后门,并尝试下载更多的恶意软件以进一步感染主机。
在这里下载: http : //www.eeye.com/html/downloads/other/ConfickerScanner.html
还请看这个资源(“networking扫描仪”): http://iv.cs.uni-bonn。 de / wg / cs / applications / contain-conficker / 。 search“networking扫描仪”,如果您正在运行Windows:
Florian Roth编译了一个Windows版本,可以从他的网站下载[直接链接到zip-download] 。
有一个名为SCS的Python工具,可以从工作站启动,您可以在这里find它: http : //iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/
它在我的工作站上这样做:
Usage: scs.py <start-ip> <end-ip> | <ip-list-file> andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80 ---------------------------------- Simple Conficker Scanner ---------------------------------- scans selected network ranges for conficker infections ---------------------------------- Felix Leder, Tillmann Werner 2009 {leder, werner}@cs.uni-bonn.de ---------------------------------- No resp.: 10.180.124.68:445/tcp. 10.180.124.72 seems to be clean. 10.180.124.51 seems to be clean. 10.180.124.70 seems to be clean. 10.180.124.53 seems to be clean. 10.180.124.71 seems to be clean. 10.180.124.69 seems to be clean. 10.180.124.52 seems to be clean. No resp.: 10.180.124.54:445/tcp. No resp.: 10.180.124.55:445/tcp. No resp.: 10.180.124.61:445/tcp. No resp.: 10.180.124.56:445/tcp. No resp.: 10.180.124.57:445/tcp. No resp.: 10.180.124.58:445/tcp. No resp.: 10.180.124.60:445/tcp. No resp.: 10.180.124.67:445/tcp. No resp.: 10.180.124.62:445/tcp. No resp.: 10.180.124.63:445/tcp. No resp.: 10.180.124.64:445/tcp. No resp.: 10.180.124.65:445/tcp. No resp.: 10.180.124.66:445/tcp. No resp.: 10.180.124.76:445/tcp. No resp.: 10.180.124.74:445/tcp. No resp.: 10.180.124.75:445/tcp. No resp.: 10.180.124.79:445/tcp. No resp.: 10.180.124.77:445/tcp. No resp.: 10.180.124.78:445/tcp. No resp.: 10.180.124.80:445/tcp.
这个页面有很多有用的资源,包括你是否被感染的快速可视摘要…
OpenDNS会警告它认为受感染的PC。 尽pipe如splattne所说,MSRT很可能是最好的select。
我们目前正在通过注意哪些机器列在其他机器的事件日志中来查找LSA策略违规。 特别是在事件日志源LsaSrv错误6033.使拒绝匿名会话连接的计算机conficker感染。