Sziasztok!
Valaki behozta a cégünbe valahol, valamilyen módon (még nem tudni) a címben említett kis férget. A probléma az, hogy közel 700 gépet fertőzne meg, ha nem lenne rajtuk vírusírtó. A NOD megfogja, nincs ezzel semmi gond. Már a szervereinkre is felmászott, de kiírtottuk. Jelenleg is jön az ESET mail, hogy próbálja fertőzni a hálózaton lévő gépeket. A kérdés, hogy milyen szoftverrel lehet kideríteni, hogy honnan csatlakozott a worm a gépre? A NOD logolja a kísérletek időpontját szerencsére, de a source ip-t azt nem. Azt kellene kideríteni melyik gép(ek)ről jön a többire.
Eleinte Active Directory-ban szépen lezárolgatta a felhasználókat, mára már ez megoldott.
Eseménynaplót néztünk, de nem jutottunk tovább. Nincs forrás ip.
Esetleg valakinek valamilyen ötlete, tapasztalata, megoldása ezzel kapcsolatosan?
Hozzászólások
Ötlet talán:
http://net.cs.uni-bonn.de/wg/cs/applications/containing-conficker/
http://mtc.sri.com/Conficker/
http://en.wikipedia.org/wiki/Conficker
DNS patternek alapján nem tudod megfogni ha bekapcsolod a Query log-ot?
Egyelőre a linkek nem sokat segítettek. A DNSt még nem próbáltam, de szerintem nem tud kimenni a netre a proxy miatt.
Elvileg egy algoritmus alapján generált hostnevekről próbál letölteni valamit ha jól nézem. Ezt DNS vagy proxy log-ban meg tudod fogni.
Igen, igen. Tűzfalon a Denied logok között sem találtam semmit. :/
A sikeres névfeloldásokat és kéréseket is figyelni kéne. Elvileg a nmap is megtalálja, keress rá.
Holnap ezt is megnézem. De valami egyszerűbb eszköz kéne 700 gépre.
Wireshark?
Próbálkozom vele
Köszi szépen, ez a megoldás nagyon bejött:
http://kephost.adatbazis.eu/images/23202771510970793953.png