OpenForum RSS: Раздел полезных советов: Обнаружение червя Conficker через п... https://www.opennet.me/openforum/vsluhforumID3/51715.html С конца 2008 года червь Conficker, поражающий Windows-клиентов, заразил несколько миллионов машин в сети, <br>занимая первые позиции в рейтингах антивирусных компаний.<br><br>Для обнаружения активности червя на компьютерах локальной сети можно рекомендовать несколько простых приемов:<br><br>1. Сниффинг сигнатуры червя через утилиту ngrep (http://ngrep.sourceforge.net/):<br><br><br> ngrep -qd eth0 -W single -s 900 -X<br> 0xe8ffffffffc25f8d4f108031c4416681394d5375f538aec69da04f85ea4f84c84f84d84fc44f9ccc497365c4c4c42cedc4<br> c4c494263c4f38923bd3574702c32cdcc4c4c4f71696964f08a203c5bcea953bb3c096969592963bf33b24699592514f8ff8<br> 4f88cfbcc70ff73249d077c795e44fd6c717cbc404cb7b040504c3f6c68644fec4b131ff01b0c282ffb5dcb61f4f95e0c717<br> cb73d0b64f85d8c7074fc054c7079a9d07a4664eb2e244680cb1b6a8a9abaac45de7991dacb0b0b4feebeb<br> 'tcp port 445 and dst net 192.168.0.0/16'<br><br>конструкцию нужно переписать одной строкой<br><br><br>2. Сканирование компьютеров с использованием готовой маски из комплекта последней версии nmap ( nmap-4.85BETA6):<br> Обнаружение червя Conficker через пассивный анализ трафика (zloi) https://www.opennet.me/openforum/vsluhforumID3/51715.html#23 Wed, 15 Apr 2009 08:23:18 GMT Conficker: NT_STATUS_OBJECT_NAME_NOT_FOUND - не совсем понятно что это за ошибка?<br> Обнаружение червя Conficker через пассивный анализ трафика (OneROFL) https://www.opennet.me/openforum/vsluhforumID3/51715.html#22 Wed, 08 Apr 2009 07:36:33 GMT А смысл? Заплатку поставил и все<br> Обнаружение червя Conficker через пассивный анализ трафика (Anonym) https://www.opennet.me/openforum/vsluhforumID3/51715.html#21 Tue, 07 Apr 2009 20:09:18 GMT ipfw add deny log tcp from ${localnet} to any 445 via ${int_int}<br>ipfw add deny log tcp from any to ${localnet} 445 via ${ext_int}<br>tail -f /var/log/security &#124; grep 445 <br><br>у нас ихначально у всех 445 порт закрыт и все на нем погашено. так.. на всякий случай :)<br><br> Обнаружение червя Conficker через пассивный анализ трафика (Alchemist) https://www.opennet.me/openforum/vsluhforumID3/51715.html#20 Tue, 07 Apr 2009 18:52:00 GMT Сотню виндовых тачек этот вирь у меня помучал, в течении недели где-то, но контроллер был линуксовый Samba+LDAP т.ч. каких-то серьезных проблем не наблюдалось...=)<br> Обнаружение червя Conficker через пассивный анализ трафика (Юниксоид) https://www.opennet.me/openforum/vsluhforumID3/51715.html#19 Tue, 07 Apr 2009 07:22:26 GMT ну и зачем такое щастье да ещё и за деньги ?<br> Обнаружение червя Conficker через  активный анализ трафика (User294) https://www.opennet.me/openforum/vsluhforumID3/51715.html#18 Mon, 06 Apr 2009 19:39:28 GMT &gt;Кстати, замечено, что active directory несколько глючит.<br>&gt;Особенно, когда контроллер домена сам становится зараженным. :-) <br><br>Мне кажется что микрософт бы вас с удовольствием расстрелял за такую антирекламу и такой администреж :)<br><br> Обнаружение червя Conficker через пассивный анализ трафика (Аноним) https://www.opennet.me/openforum/vsluhforumID3/51715.html#17 Mon, 06 Apr 2009 08:29:59 GMT http://inguma.wiki.sourceforge.net/Installation+Guide<br> от рута руки прочь (Хомо Имбицилло) https://www.opennet.me/openforum/vsluhforumID3/51715.html#16 Mon, 06 Apr 2009 06:30:38 GMT whereis py-impacket<br>py-impacket: /usr/ports/net/py-impacket<br> Обнаружение червя Conficker через пассивный анализ трафика (Хомо Имбицилло) https://www.opennet.me/openforum/vsluhforumID3/51715.html#15 Mon, 06 Apr 2009 06:28:12 GMT &gt;whereis py-impacket<br><br>py-impacket: /usr/ports/net/py-impacket<br>