远程查找公司/ISP 网络中受 Conficker 感染的 PC 的最佳方法是什么?
答案1
最新版本nmap
通过检测蠕虫对受感染机器上的端口 139 和端口 445 服务所做的几乎看不见的更改,能够检测出 Conficker 的所有(当前)变体。
据我所知,这是无需访问每台机器对整个网络进行网络扫描的最简单方法。
答案2
运行微软的恶意软件删除工具。它是一个独立的二进制文件,有助于删除流行的恶意软件,并且可以帮助删除 Win32/Conficker 恶意软件家族。
您可以从以下任一 Microsoft 网站下载 MSRT:
阅读此 Microsoft 支持文章:有关 Win32/Conficker.B 蠕虫的病毒警报
更新:
您可以打开这个网页。如果机器上有 conficker 的迹象,它会发出警告:http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
我几乎忘了提及这个非常好的“视觉”方法:飞克视力表(我不确定它在未来是否还能与病毒的修改版本一起运行) - 我不确定它是否还能正常运行(2009 年 6 月更新):
如果您可以看到上表两行中的所有六幅图像,则说明您没有受到 Conficker 的感染,或者您可能正在使用代理服务器,在这种情况下,您将无法使用此测试做出准确的判断,因为 Conficker 无法阻止您查看 AV/安全站点。
网络扫描仪
eEye 的免费 Conficker 蠕虫网络扫描程序:
Conficker 蠕虫利用各种攻击媒介来传输和接收有效载荷,包括:软件漏洞(例如 MS08-067)、便携式媒体设备(例如 USB 拇指驱动器和硬盘驱动器),以及利用端点弱点(例如网络系统上的弱密码)。Conficker 蠕虫还会在系统上生成远程访问后门,并尝试下载其他恶意软件以进一步感染主机。
在这里下载:http://www.eeye.com/html/downloads/other/ConfickerScanner.html
另请查看此资源(“网络扫描仪”):http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/。搜索“网络扫描仪”,如果您运行的是 Windows:
Florian Roth 编写了一个 Windows 版本,可供下载来自他的网站 [直接链接到 zip 下载]。
答案3
您可以从工作站启动一个名为 SCS 的 Python 工具,您可以在这里找到它:http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/
在我的工作站上它是这样运行的:
Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>
andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80
----------------------------------
Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------
No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
答案4
OpenDNS 会警告它认为受感染的 PC。尽管如 splattne 所说,MSRT 很可能是最佳选择。