Cercare un virus insidioso e veramente stronzo come Conficker in una rete con decine e decine di client può essere una impresa. Un lavoro estenuante e che talvolta sembra riemergere con improvvise fiammate di attacchi. Potrebbe sembrare tardivo questo post, ma parlando con alcuni colleghi ho notato che quello che vado ad illustrarvi non era un sistema conosciuto ai più.
Per andare a cercare nella propria rete l’impronta di Conficker potete usare NMAP, una utility gratuita per esplorare la propria rete.
Grazie alla ricerca di Tillmann Werner e Felix Leder che fanno parte del Honeynet Project e alla implementazione di Ron Bowes, David Fifield, Brandon Enright, and Fyodor, è stata creata, ormai un anno fa, una release di Nmap release che permette di controllare la vostra rete e individuare le macchine infette.
E’ sufficiente inserire nella linea di comando di NMAP il codice sottostante per ottenere una lista di computer che alla voce “Conficker” riporteranno lo stato riscontrato, “Conficker: Likely CLEAN” o spero pochi per voi, “Conficker: likely INFECTED”.
nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns,smb-os-discovery --script-args safe=1 [targetnetworks]
Se non avete voglia di guardarvi a mano tutto il report, potete usare uno script in Perl ( http://noh.ucsd.edu/~bmenrigh/nxml_conficker.pl ) per ottenere un output XML.
A quel punto i computer riscontrati come possibili untori andranno scollegati dalla rete ed eseguite tutte le operazioni del caso che ormai i sistemisti conoscono bene: i client andranno controllati con GMER, ripuliti con una scansione all’avvio del vostro antivirus debitamente aggiornato, e verificati a mano percorsi come la cartella dei tasks e le voci di registro che grazie a SVCHOST rilanciano il virus come i componenti di Jeeg robot d’acciaio.
{ 1 trackback }