用Nmap工具查找Downadup/Conficker的蠕虫病毒源

原创 2013年12月03日 15:30:19

1、 Downadup/Conficker

Conficker主要利用Windows操作系统MS08-067漏洞来传播,同时也能借助任何有USB接口的硬件设备来感染,在2008年被发现,并在微软的MS08-067补丁中被修复。但直到如今,仍有不少局域网中发现有Downadup蠕虫病毒感染,有些杀毒软件仍然不给力,无法找到病毒源头,导致在某些机器上不断地重复发现Downadup报告,但无法删除。

2 、Nmap脚本引擎smb-check-vulns.nse

Nmap提供了强大的脚本引擎(NSE),以支持通过Lua编程来扩展Nmap的功能。除了常见的主机发现、端口扫描等功能外,脚本引擎扩展了其他更加多样化的功能,如检查常见的漏洞信息以及本片文章提到的检查蠕虫感染功能。

smb-check-vulns脚本的介绍和源码下载可以在nmap.org官网上获得:

http://nmap.org/nsedoc/scripts/smb-check-vulns.html

smb-check-vulns脚本可以查看以下漏洞:

MS08-067, a Windows RPC vulnerability

Conficker, an infection by the Conficker worm

Unnamed regsvc DoS, a denial-of-service vulnerability I accidentally found in Windows 2000

SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)

MS06-025, a Windows Ras RPC service vulnerability

MS07-029, a Windows Dns Server RPC service vulnerability

其中关于Conficker的检查,mnap是基于以下的这个Conficker扫描器

http://net.cs.uni-bonn.de/wg/cs/applications/containing-conficker

3、 Nmap扫描实例

此工具用来检测远程可疑源的具体使用命令如下:

nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns,smb-os-discovery--script-args safe=1 [targetnetworks]

如:

nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns, smb-os-discovery--script-args safe=1 100.10.1.*

方便起见,可以将其导出到一个文件中:

nmap -PN -T4 -p139,445 -n -v --scriptsmb-check-vulns,smb-os-discovery --script-args safe=1 [targetnetworks] >nmap_result.log

从日志里面找关键字,可以确定病毒源的位置。

Host 172.30.160.22 is up (0.00s latency).

Interesting ports on 172.30.160.22:

PORT STATE SERVICE

139/tcp open netbios-ssn

445/tcp open microsoft-ds

MAC Address: 00:E0:4C:1E:22:B8 (RealtekSemiconductor)

Host script results:

| smb-os-discovery: Windows XP

| LAN Manager: Windows 2000 LAN Manager

| Name: WORKGROUP\WH013

|_ System time: 2009-12-21 17:10:57 UTC+8

| smb-check-vulns:

| MS08-067: CHECK DISABLED (remove 'safe=1'argument to run)

| Conficker: UNKNOWN; not Windows, orWindows with disabled browser service (CLEAN); or Windows with crashed browserservice (possibly INFECTED).

| | If you know the remote system isWindows, try rebooting it and scanning

| |_ again. (ErrorNT_STATUS_OBJECT_NAME_NOT_FOUND)

|_ regsvc DoS: CHECK DISABLED (add'--script-args=unsafe=1' to run)

Host 172.30.160.40 is up (0.00s latency).

Interesting ports on 172.30.160.40:

PORT STATE SERVICE

139/tcp open netbios-ssn

445/tcp open microsoft-ds

MAC Address: 00:16:76:A8:D4:1F (Intel)

Host script results:

| smb-os-discovery: Windows XP

| LAN Manager: Windows 2000 LAN Manager

| Name: SZWH\WH-ASP-04

|_ System time: 2009-12-21 17:09:06 UTC+8

| smb-check-vulns:

| MS08-067: CHECK DISABLED (remove 'safe=1'argument to run)

| Conficker: Likely INFECTED (by Conficker.C or lower)

|_ regsvc DoS: CHECK DISABLED (add'--script-args=unsafe=1' to run)

http://www.9pc.cn/aq/2013/67.html

局域网雨云蠕虫病毒的处理

本篇文章经过作者的实践证明对于网络病毒查杀是行之有效的整体解决方案,适用于感染了雨云蠕虫病毒的大型局域网,尤其在病毒泛滥的情况下,着实有用。...
  • luogangan
  • luogangan
  • 2015年06月12日 08:01
  • 1141

病毒、木马、蠕虫与恶意代码关键点

病毒:寄生存在,所谓寄生,就是病毒的指令存在于其它可执行程序的空指令部分。如下图为一个标准的计寄生形式的病毒: 运行可执行程序,一个jmp指令会导致程序跳转到病毒所在指令处开始执行,执行完毕之后...
  • Apollon_krj
  • Apollon_krj
  • 2017年07月12日 19:50
  • 2059

防范勒索蠕虫病毒入侵,3分钟教你快速关闭高危端口445!

“永恒之蓝”的外衣是多么的美妙,“勒索蠕虫病毒”的内在是多么的丑陋!...
  • Summer_Hanson
  • Summer_Hanson
  • 2017年05月16日 10:47
  • 1238

渗透测试笔记:爬虫变蠕虫的故事

写这篇文,主要想以日记的形式记录下我在整个测试(gongji)过程中的 心路历程、所用技术、填的坑等等。。 为了让文章显得不那么呆板,不那么流水,我尽量使用一些文艺点的词汇。 9月份的广州,一天...
  • qq_30123355
  • qq_30123355
  • 2016年09月07日 20:04
  • 1451

w32.downadup.b蠕虫病毒详解及清除攻略(转)

w32.downadup.b蠕虫病毒详解及清除攻略
  • snlying
  • snlying
  • 2011年01月26日 15:54
  • 5929

易语言蠕虫病毒源码

  • 2016年02月26日 21:38
  • 260KB
  • 下载

Conficker.AE病毒局域网扫描工具

  • 2010年05月04日 11:01
  • 172KB
  • 下载

中科院公布H7N9禽流感病毒源

中国科学院病原微生物与免疫学重点实验室近日对H7N9禽流感病毒进行基因溯源研究显示,H7N9禽流感病毒基因来自于东亚地区野鸟和中国上海、浙江、江苏鸡群的基因重配。而病毒自身基因变异可能是H7N9型禽流...
  • wd1282988143
  • wd1282988143
  • 2013年04月11日 15:42
  • 1384

ARP TSC 蠕虫病毒专杀工具

  • 2009年11月08日 11:21
  • 1.95MB
  • 下载

勒索病毒 专杀工具 WannaCry 比特币 勒索蠕虫

  • 2017年05月15日 12:18
  • 631KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:用Nmap工具查找Downadup/Conficker的蠕虫病毒源
举报原因:
原因补充:

(最多只允许输入30个字)