在公司网络中远程查找受Conficker感染的PC的最佳方法是什么？

在公司/ ISP网络中远程找到受Conficker感染的PC的最佳方法是什么？

最新版本nmap的蠕虫病毒能够通过检测蠕虫对受感染机器上的端口139和端口445服务所做的几乎看不见的更改来检测Conficker的所有（当前）变体。

（AFAIK）这是对整个网络进行基于网络的扫描而无需访问每台机器的最简单方法。

运行Microsoft的恶意软件删除工具。它是一个独立的二进制文件，可用于删除流行的恶意软件，并且可以帮助删除Win32 / Conficker恶意软件家族。

您可以从以下Microsoft网站之一下载MSRT：

• http://www.update.microsoft.com
• http://support.microsoft.com/kb/890830

阅读此Micosoft支持文章：有关Win32 / Conficker.B蠕虫的病毒警报

更新：

有可以打开的网页。如果机器上有混乱的迹象，它应该发出警告：http : //four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

我几乎忘了提到这种非常好的“可视”方法：Conficker视力表（我不确定将来是否可以在修改后的病毒版本中使用它）-我不确定它是否仍然可以正常工作（更新06） / 2009）：

如果您可以在顶部表格的两行中看到所有六张图片，则说明您没有受到Conficker的感染，或者您使用的是代理服务器，在这种情况下，您将无法使用此测试做出准确的判断，因为Conficker将无法阻止您查看AV /安全站点。

网络扫描仪

eEye的免费Conficker蠕虫网络扫描仪：

Conficker蠕虫利用各种攻击媒介来发送和接收有效载荷，包括：软件漏洞（例如MS08-067），便携式媒体设备（例如USB拇指驱动器和硬盘驱动器）以及利用端点漏洞（例如密码薄弱）。支持网络的系统）。Conficker蠕虫还将在系统上产生远程访问后门，并尝试下载其他恶意软件以进一步感染主机。

在此处下载：http : //www.eeye.com/html/downloads/other/ConfickerScanner.html

另请参阅以下资源（“网络扫描仪”）：http：//iv.cs.uni-bonn。de / wg / cs / applications / contains-conficker /。搜索“网络扫描仪”，如果正在运行Windows，则：

Florian Roth编译了Windows版本，可以从他的网站 下载[直接链接到zip-download]。

您可以从工作站启动一个名为SCS的Python工具，您可以在以下位置找到它：http : //iv.cs.uni-bonn.de/wg/cs/applications/ contains-conficker /

它在我的工作站上以这种方式运行：

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.

该页面有很多有用的资源，包括有关您是否被感染的快速直观摘要...

http://www.confickerworkinggroup.org/wiki/

OpenDNS将警告它认为已感染的PC。尽管如splattne所说，MSRT很可能是最佳选择。

当前，我们通过注意哪些机器在其他机器的事件日志中列出了违反LSA策略的行为来找到它们。特别是在事件日志源LsaSrv错误6033中。拒绝匿名会话建立连接的计算机受到Conficker感染。