HowTo, Segurança

Localizando máquinas infectadas com o worm Conficker

No dia 1o. abril todas as midias estavam focadas em um único assunto relacionado a redes e internet. Todo o planeta estava em alerta por causa da ação de um worm chamado Conficker.

No Slashdot e em todos os sites especializados no assunto segurança da informação surgiam a cada momento novos posts sobre este o worm,.

Isto me lembra muito cerca de 09 anos atrás um worm devastador chamado Sircam, esse cara fez um estrago imenso na rede Petrobrás onde eu trabalhava na época.

Porém como não poderia deixar ser Fyodor e sua trupe criaram uma nova feature no NMAP. Esta feature permite scanear uma rede a procura por hosts infectados com o worm Conficker. .

Para isso digite o seguinte comando:

nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args safe=1 [Rede_Alvo]

Se a máquina estiver limpa surgirá o aviso: Conficker: Likely CLEAN, senão surigirá Conficker: Likely INFECTED

Divirtam-se!!!

creysson.jpg

5 Comments

  1. Fala Coringão!
    To rodando 8.10
    baixei o fonte da versão 4.85BETA5 e compilei.
    acontece que não tenho o output do script check-vulns mas somente do os-discovery…. Você pode ajudar?

    [email protected]:/usr/local/bin$ sudo nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args safe=1 10.1.63.32

    Starting Nmap 4.85BETA5 ( http://nmap.org ) at 2009-04-03 11:04 BRT
    Initiating SYN Stealth Scan at 11:04
    Scanning 10.1.63.32 [2 ports]
    Discovered open port 445/tcp on 10.1.63.32
    Discovered open port 139/tcp on 10.1.63.32
    Completed SYN Stealth Scan at 11:04, 0.00s elapsed (2 total ports)
    NSE: Initiating script scanning.
    Initiating NSE at 11:04
    Completed NSE at 11:04, 1.01s elapsed
    Initiating NSE at 11:04
    Completed NSE at 11:04, 1.01s elapsed
    Host 10.1.63.32 appears to be up … good.
    Interesting ports on 10.1.63.32:
    PORT STATE SERVICE
    139/tcp open netbios-ssn
    445/tcp open microsoft-ds

    Host script results:
    | smb-os-discovery: Windows 2000
    | LAN Manager: Windows 2000 LAN Manager
    | Name: meudominiomaq198841
    |_ System time: 2009-04-03 11:04:30 UTC-3

    Read data files from: /usr/local/share/nmap
    Nmap done: 1 IP address (1 host up) scanned in 2.15 seconds
    Raw packets sent: 2 (88B) | Rcvd: 2 (88B)
    [email protected]:/usr/local/bin$

  2. Hehehe lembro bem desse estrago do Sircam na rede Petrobras porque nessa época eu tb estava lá e ralei muito por causa dessa praga. Até hoje esse episódio é referencia pra mim dos danos que pragas virtuais podem causar.

    abraço.

  3. Alex meu patrão

    Acho que voce esqueceu de citar em relação a versão do nmap que deve ser a mais atualizada.
    E um detalhe na hora de copiar/colar a sintaxe do comando. Antes das duas ocorrencias da palavra script tem um [-] mais na verdade tem que ser [- -] .

    No mais, um abraço por trás

Comments are closed.