Home > Uncategorized > Localizando máquinas infectadas com o worm Conficker

Localizando máquinas infectadas com o worm Conficker

No dia 1o. abril todas as midias estavam focadas em um único assunto relacionado a redes e internet. Todo o planeta estava em alerta por causa da ação de um worm chamado Conficker.

No Slashdot e em todos os sites especializados no assunto segurança da informação surgiam a cada momento novos posts sobre este o worm,.

Isto me lembra muito cerca de 09 anos atrás um worm devastador chamado Sircam, esse cara fez um estrago imenso na rede Petrobrás onde eu trabalhava na época.

Porém como não poderia deixar ser Fyodor e sua trupe criaram uma nova feature no NMAP. Esta feature permite scanear uma rede a procura por hosts infectados com o worm Conficker. .

Para isso digite o seguinte comando:

nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args safe=1 [Rede_Alvo]

Se a máquina estiver limpa surgirá o aviso: Conficker: Likely CLEAN, senão surigirá Conficker: Likely INFECTED

Divirtam-se!!!

creysson.jpg

  1. 04/02/2009 at 10:49 PM

    Lembrando que o nmap deve ser o mais atual, dos que estão no controle de versão da insecure.

  2. Pierre
    04/03/2009 at 11:06 AM

    Fala Coringão!
    To rodando 8.10
    baixei o fonte da versão 4.85BETA5 e compilei.
    acontece que não tenho o output do script check-vulns mas somente do os-discovery…. Você pode ajudar?

    pierre@ubuntu:/usr/local/bin$ sudo nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args safe=1 10.1.63.32

    Starting Nmap 4.85BETA5 ( http://nmap.org ) at 2009-04-03 11:04 BRT
    Initiating SYN Stealth Scan at 11:04
    Scanning 10.1.63.32 [2 ports]
    Discovered open port 445/tcp on 10.1.63.32
    Discovered open port 139/tcp on 10.1.63.32
    Completed SYN Stealth Scan at 11:04, 0.00s elapsed (2 total ports)
    NSE: Initiating script scanning.
    Initiating NSE at 11:04
    Completed NSE at 11:04, 1.01s elapsed
    Initiating NSE at 11:04
    Completed NSE at 11:04, 1.01s elapsed
    Host 10.1.63.32 appears to be up … good.
    Interesting ports on 10.1.63.32:
    PORT STATE SERVICE
    139/tcp open netbios-ssn
    445/tcp open microsoft-ds

    Host script results:
    | smb-os-discovery: Windows 2000
    | LAN Manager: Windows 2000 LAN Manager
    | Name: meudominio\maq198841
    |_ System time: 2009-04-03 11:04:30 UTC-3

    Read data files from: /usr/local/share/nmap
    Nmap done: 1 IP address (1 host up) scanned in 2.15 seconds
    Raw packets sent: 2 (88B) | Rcvd: 2 (88B)
    pierre@ubuntu:/usr/local/bin$

  3. Marcelo Corrêa
    04/03/2009 at 11:47 AM

    Hehehe lembro bem desse estrago do Sircam na rede Petrobras porque nessa época eu tb estava lá e ralei muito por causa dessa praga. Até hoje esse episódio é referencia pra mim dos danos que pragas virtuais podem causar.

    abraço.

  4. Zenildo Silva
    04/08/2009 at 11:42 AM

    Alex meu patrão

    Acho que voce esqueceu de citar em relação a versão do nmap que deve ser a mais atualizada.
    E um detalhe na hora de copiar/colar a sintaxe do comando. Antes das duas ocorrencias da palavra script tem um [-] mais na verdade tem que ser [- -] .

    No mais, um abraço por trás

  1. 04/15/2009 at 9:39 AM

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: