Обнаружение червя Conficker через пассивный анализ трафика

С конца 2008 года червь Conficker, поражающий Windows-клиентов, заразил несколько миллионов машин в сети,
занимая первые позиции в рейтингах антивирусных компаний.

Для обнаружения активности червя на компьютерах локальной сети можно рекомендовать несколько простых приемов:

1. Сниффинг сигнатуры червя через утилиту ngrep (http://ngrep.sourceforge.net/):


  ngrep -qd eth0 -W single -s 900 -X
 0xe8ffffffffc25f8d4f108031c4416681394d5375f538aec69da04f85ea4f84c84f84d84fc44f9ccc497365c4c4c42cedc4
 c4c494263c4f38923bd3574702c32cdcc4c4c4f71696964f08a203c5bcea953bb3c096969592963bf33b24699592514f8ff8
 4f88cfbcc70ff73249d077c795e44fd6c717cbc404cb7b040504c3f6c68644fec4b131ff01b0c282ffb5dcb61f4f95e0c717
 cb73d0b64f85d8c7074fc054c7079a9d07a4664eb2e244680cb1b6a8a9abaac45de7991dacb0b0b4feebeb
  'tcp port 445 and dst net 192.168.0.0/16'

конструкцию нужно переписать одной строкой


2. Сканирование компьютеров с использованием готовой маски из комплекта последней версии nmap ( nmap-4.85BETA6):

   nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 192.168.1.0/24

или оптимизировав запрос для сканирования сети большого объема:

   nmap -sC -PN -d -p445 -n -T4 --min-hostgroup 256 \
 --min-parallelism 64 --script=smb-check-vulns \
 --script-args=safe=1 192.168.0.0/16

3. Проверить зараженность отдельной машины можно через специально подготовленный Python скрипт.

   wget http://iv.cs.uni-bonn.de/uploads/media/scs.zip
 unzip scs.zip
 ./scs.py 192.168.1.100