Nu är det möjligt att scanna efter Conficker
Tillmann Werner och Felix Leder vid The Honeynet Project har tillsammans med Dan Kaminsky listat ut ett sätt att upptäcka Conficker-infekterade maskiner.
Conficker modifierar delar av Windows, närmare bestämt NetpwPathCanonicalize(), på ett sådant sätt att det går att skilja en Conficker-infekterad maskin från både en opatchad maskin och en maskin som är patchad med MS08-067. Gallringen sker genom att man kan analysera felkoder från specialkonstruerade RPC-meddelanden.
Mer information och "proof-of-concept"-kod finns på The Honeynet Project och Doxpara.
För mer information om Conficker så kan du läsa SRI Internationals analys och Conficker Working Groups FAQ, eller The Honeynet Projects "Know Your Enemy: Containing Conficker" samt instruktioner för att scanna efter Conficker med nmap hittar du på Skullsecurity och Seclists.
Ett plug-in till Nessus finns också att ladda hem.
Inlägg
Skicka en kommentar