La ultima version of nmap (http://pintucoperu.wordpress.com/2008/07/04/usando-nmap-para-monitorizar-los-puertos-de-nuestro-sistema/) puede escanear nuestra red for actividad de malware en maquinas Windows. Personalmente no estoy a favor de usar Windows, sin embargo, si uno tiene una red con maquinas Windows y desea verificar si alguna esta infectada, estas instrucciones son de utilidad. Incluso ahora con el temido worm Conficker C.
Este virus solo afecta a maquinas Windows, no afecta a Linux (ni Ubuntu). Este gusano (worm) tiene nombre C que ha registrado una alta tasa de propagación en los últimos días a través del puerto 445 y explotando una vulnerabilidad solucionada por Microsoft el pasado 23 de octubre. A continuación se puede ver el aumento de tráfico en el puerto mencionado, a través informes de ISC SANS.
Trafico de puerto 445 en final Marzo 2009
Nmap puede detectar algunos falsos positivos de maquinas infectadas con Conficker C pero de todas formas nos ayuda a rapidamente saber que maquinas pueden tener instalado este worm. Bueno, aqui tratare de presentar los pasos:
Primero, descargen la ultima version de NMAP de aqui: http://nmap.org/dist/nmap-4.85BETA6.tgz
Descargarlo en algun directorio como tu directorio HOME y descomprimelo:
$ tar xzvf nmap-4.85BETA6.tgz
Tipea los siguientes comandos:
$ cd nmap-4.85BETA6
$ ./configure
$ make
$ sudo checkinstall
Si te da algun error de dependencias, necesitas instalar las librerias faltantes.
Ahora puedes ejecutar este comando para escanear tu red, toma nota que debes cambiar los argumentos para tu red especifica:
$ nmap -PN -d -p445 –script=smb-check-vulns –script-args=safe=1 192.168.5.0/24
En el reporte que te presenta debes buscar por:
smb-check-vulns:
MS08-067: FIXED
Conficker: Likely INFECTED
regsvc DoS: VULNERABLE
Esto te indicara que maquinas tuvieran el problema de este worm y que debes instalar Windows updates o reinstalarlas. Recuerda verificar que no es una falsa alarma, o una opcion mas segura, usar MacOSX o Ubuntu.
Ademas si les interesa, el antivirus NOD32 actualizado puede eliminarlo. Si usan Windows mantener su sistema actualizado a su ultimo Service Pack.
Fuente (acerca del uso de Nmap ultima version): http://beginlinux.wordpress.com/2009/04/01/scanning-for-the-conficker-worm/
Hola Abelardo,
Excelente aporte que permite detectar el COnficker C con la utilísima herramienta nmap del Linux.
Definitivamente lo voy a probar en breve.
Saludos
Daniel Argandoña
comentario por Daniel Argandoña — Abril 6, 2009 @ 10:14 am