本文介绍了如何使用Nmap工具的smb-check-vulns.nse脚本来查找Downadup/Conficker蠕虫病毒源。Conficker蠕虫利用Windows的MS08-067漏洞传播,而Nmap的脚本引擎可以检测此类漏洞和感染情况。通过运行特定的Nmap命令,可以扫描目标网络,识别出可能被Conficker感染的主机。
1、 Downadup/Conficker
Conficker主要利用Windows操作系统MS08-067漏洞来传播,同时也能借助任何有USB接口的硬件设备来感染,在2008年被发现,并在微软的MS08-067补丁中被修复。但直到如今,仍有不少局域网中发现有Downadup蠕虫病毒感染,有些杀毒软件仍然不给力,无法找到病毒源头,导致在某些机器上不断地重复发现Downadup报告,但无法删除。
2 、Nmap脚本引擎smb-check-vulns.nse
Nmap提供了强大的脚本引擎(NSE),以支持通过Lua编程来扩展Nmap的功能。除了常见的主机发现、端口扫描等功能外,脚本引擎扩展了其他更加多样化的功能,如检查常见的漏洞信息以及本片文章提到的检查蠕虫感染功能。
smb-check-vulns脚本的介绍和源码下载可以在nmap.org官网上获得:
http://nmap.org/nsedoc/scripts/smb-check-vulns.html
smb-check-vulns脚本可以查看以下漏洞:
MS08-067, a Windows RPC vulnerability
Conficker, an infection by the Conficker worm
Unnamed regsvc DoS, a denial-of-service vulnerability I accidentally found in Windows 2000
SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)
MS06-025, a Windows Ras RPC service vulnerability
MS07-029, a Windows Dns Se
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
