Перейти к содержимому

Win32/Conficker.AА - помогите уничтожить


Рекомендованные сообщения

Всем привет !

В сетке начал гулять вирусняк Win32/Conficker.AА - Эта хрень засЕрает сетку исходящими пакетами.

Так как ходить по всем клиентам - дело неблагодарное , а уповать на их сознательность не приходиться , может есть серверное решение ???

На данный момент использую:

tcpdump -i vlan1 -n src net xx.xx.хх.0/24 and dst port 445

Пару машин поймал, но это не выход ...

Нашел пару скриптов в инете:

 

net view /DOMAIN:тут пишем свой домен > comps.txt

for /f "eol=K skip=4 tokens=1" %%i in (comps.txt) do (

if exist %%i\c$\windows\tasks\ del %%i\c$\windows\tasks\At*.job

if exist %%i\c$\winnt\tasks\ del %%i\c$\winnt\tasks\At*.job

)

 

 

До кучи еще один полезный скрипт, которым я пользуюсь, чтобы найти подозрительные системные скрытые файлы (таким образом обнаруживаются и файлы Конфикера):

 

net view /DOMAIN:тут пишем свой домен > comps.txt

for /f "eol=K skip=4 tokens=1" %%i in (comps.txt) do (

if exist %%i\c$\windows\system32 dir /A:H %%i\c$\windows\system32 >> C:\SysReport01.txt

if exist %%i\c$\winnt\system32 dir /A:H %%i\c$\winnt\system32 >> C:\SysReport01.txt

)

 

В файлике SysReport01.txt сваливается список содержимого директорий \system32\ машин в домене состоящих из скрытых защищенных системных файлов (обычная тактика вирусов). С его помощью можно быстро проанализировать степень заражения сети.

В процессе работы также создается вспомогательный файлик comps.txt, который можно также прибивать в конце (я оставляю в целях диагностики).

Если домена нет, то похожий скрипт можно написать для перебора некоего диапазона ip-адресов.

 

Как переделать их для сканирования по сетке айпишников

Ссылка на сообщение
Поделиться на других сайтах

11:16:06.603105 xx.xx.xx.52.2365 > 111.40.61.127.445: S 3008960994:3008960994(0) win 65535 <mss 1460,nop,nop,sackOK>

11:16:06.606043 xx.xx.xx.52.2525 > 123.52.148.63.445: S 3015819484:3015819484(0) win 65535 <mss 1460,nop,nop,sackOK>

11:16:06.703364 xx.xx.xx.52.2366 > 179.91.137.67.445: S 3009026758:3009026758(0) win 65535 <mss 1460,nop,nop,sackOK>

11:16:06.703370 xx.xx.xx.52.2367 > 15.113.236.112.445: S 3009073249:3009073249(0) win 65535 <mss 1460,nop,nop,sackOK>

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...