¿Cuál es la mejor manera de encontrar PC infectadas por Conficker en las redes de la empresa de forma remota?

¿Cuál es la mejor manera remota de encontrar PC infectadas por Conficker en las redes de la empresa / ISP?

La última versión de nmaptiene la capacidad de detectar todas las variantes (actuales) de Conficker al detectar los cambios casi invisibles que el gusano realiza en los servicios del puerto 139 y 445 en las máquinas infectadas.

Esta es (AFAIK) la forma más fácil de hacer un escaneo basado en la red de toda su red sin visitar cada máquina.

Ejecute la herramienta de eliminación de software malintencionado de Microsoft . Es un binario independiente que es útil en la eliminación de software malicioso frecuente, y puede ayudar a eliminar la familia de malware Win32 / Conficker.

Puede descargar el MSRT desde cualquiera de los siguientes sitios web de Microsoft:

• http://www.update.microsoft.com
• http://support.microsoft.com/kb/890830

Lea este artículo de soporte de Micosoft: Alerta de virus sobre el gusano Win32 / Conficker.B

ACTUALIZAR:

Existe esta página web que puede abrir. Debería dar una advertencia si hay una señal de conficker en la máquina: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Casi me olvido de mencionar este muy buen enfoque "visual": Conficker Eye Chart (no estoy seguro de si funcionará en el futuro con la versión modificada del virus) - No estoy seguro de si todavía funciona correctamente (actualización 06 / 2009):

Si puede ver las seis imágenes en ambas filas de la tabla superior, no está infectado por Conficker o puede estar utilizando un servidor proxy, en cuyo caso no podrá utilizar esta prueba para hacer una determinación precisa, ya que Conficker no podrá impedir que vea los sitios de AV / seguridad.

Escáner de red

Escáner gratuito de red de gusanos Conficker de eEye:

El gusano Conficker utiliza una variedad de vectores de ataque para transmitir y recibir cargas útiles, que incluyen: vulnerabilidades de software (p. Ej. MS08-067), dispositivos de medios portátiles (p. Ej., Memorias USB y discos duros), así como aprovechar las debilidades de los puntos finales (p. Ej., Contraseñas débiles en sistemas habilitados para red). El gusano Conficker también generará puertas traseras de acceso remoto en el sistema e intentará descargar malware adicional para infectar aún más al host.

Descargue aquí: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

Mire también este recurso ("escáner de red"): http: //iv.cs.uni-bonn. de / wg / cs / aplicaciones / container-conficker / . Busque "Network Scanner" y, si está ejecutando Windows:

Florian Roth ha compilado una versión de Windows que está disponible para descargar desde su sitio web [enlace directo a descarga zip] .

Hay una herramienta de Python llamada SCS que puede iniciar desde su estación de trabajo, y puede encontrarla aquí: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Va de esta manera en mi estación de trabajo:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.

Esta página tiene muchos recursos útiles, incluido un resumen visual rápido de si está infectado ...

http://www.confickerworkinggroup.org/wiki/

OpenDNS advertirá de las PC que cree que están infectadas. Aunque, como dijo splattne, MSRT es probablemente la mejor opción.

Actualmente los estamos encontrando al notar qué máquinas se enumeran en los registros de eventos de otras máquinas por violaciones de la política de LSA. Específicamente EN el registro de eventos Fuente LsaSrv error 6033. La máquina que realiza las conexiones de sesión anónimas que se están negando está infectada por conficker.