Detectando Conficker en una red (II)

Extendiendo el post "Detectando Conficker en una red" les dejo algunas herramientas más que pueden ser utilizadas para la prevención del gusano.

Nmap, una de las herramientas de escaneo de redes más popular (y software libre también) ha liberado una nueva release, en estado beta aún (), que contiene detección de Conficker.

La misma puede ser descargada desde: http://nmap.org/download.html.
El comando de ejemplo para la ejecución es:
nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [targetnetworks]

Existen asimismo, las firmas para la detección de las variantes A y B de Conficker para IDS:

• Conficker.A: alert tcp any any -> $HOME_NET 445 (msg:"conficker.a shellcode"; content: "|e8 ff ff ff ff c1|^|8d|N|1080|1|c4|Af|81|9EPu|f5 ae c6 9d a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9ccc|IrX|c4 c4 c4|,|ed c4 c4 c4 94|&
• Conficker.B: alert tcp any any -> $HOME_NET 445 (msg: "conficker.b shellcode";content: "|e8 ff ff ff ff c2|_|8d|O|10 80|1|c4|Af|81|9MSu|f5|8|ae c6 9da0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c cc|Ise|c4 c4 c4|,|ed c4 c4 c494|&

Por último, del mismo informe de la Universidad de Bonn, mencionado en el post anterior, se destacan otras herramientas para la protección ante Conficker:

• Downatool2 y Dominios de colisión de conficker C: Los nombres de dominio de las diferentes variantes de conficker pueden ser usados para detectar máquinas infectadas dentro de una red. Estas herramientas permiten predecir los dominios que serán consultados a futuro.
• Nonficker Vaxination Tool. Conficker utiliza mutex para asegurarse que en el equipo infectado se encuentra su más reciente versión. Este método puede ser empleado para prevenir potenciales infecciones simulando un servicio levantado a través de una dll.

Sebastián de la Redacción de Segu-Info

Suscríbete a nuestro Boletín