Worm Conficker

O worm conficker (Win32/Conficker.B), pode ser identificado na rede utilizando o port scan nmap, o download do mesmo pode ser efetuado em http://nmap.org/download.html, o mesmo está disponibilizado para sistemas Windows, Unix, Linux e Apple. Após a instalação, deve ser utilizada a linha de comandos abaixo, redirecionando a saída para /var/log/nmap.log:

nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args safe=1 192.168.0.0/24 -oA /tmp/scan. Serão gerados 3 arquivos como exibido abaixo:

[root@servernet root]# ls -la /tmp/scan*
-rw-r--r--    1 root     root         8679 Nov  3 15:26 /tmp/scan.gnmap
-rw-r--r--    1 root     root        33189 Nov  3 15:26 /tmp/scan.nmap
-rw-r--r--    1 root     root        65311 Nov  3 15:26 /tmp/scan.xml

O formato de saída .nmap é o padrão a ser gerado nas saídas (output), mais opções podem ser utilizadas para serem gerados diferentes formatos de saída, abaixo temos um exemplo de um host possivelmente infectado:

Host 192.168.42.59 is up (0.00049s latency).
Interesting ports on 192.168.42.59:
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds
MAC Address: 00:1E:C9:1F:7C:53 (Dell)

Host script results:
| smb-os-discovery: Windows XP
| LAN Manager: Windows 2000 LAN Manager
| Name: WORKGRPLOGISTICA59
|_ System time: 2009-07-29 18:20:40 UTC-3
| smb-check-vulns:
| MS08-067: Check disabled (remove 'safe=1' argument to run)
| Conficker: Likely INFECTED
|_ regsvc DoS: Check disabled (add --script-args=unsafe=1 to run)

Após a detecção, é recomendada a remoçção do host da rede até que o worm seja removido, as instruções para remoção podem ser obtidas em http://support.microsoft.com/kb/962007/pt-br.