Posted by kecoak on Apr 1, 2009

Mendeteksi Conficker dengan Network Scanner

Categories: News | 2 comments

Salah satu media hype tentang Conficker ini bisa dilihat dari sini. Nmap salah satu yang menambahkan tehnik deteksi Conficker, bisa dibaca selengkapnya dari sini.

Host 10.10.93.191 is up (0.00016s latency).
Interesting ports on 10.10.93.191:
PORT    STATE SERVICE
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds

Host script results:
|  smb-check-vulns:
|  MS08-067: NOT RUN
|  Conficker: Likely CLEAN
|_ regsvc DoS: NOT RUN (add --script-args=unsafe=1 to run)

Along with Honeynet’s Tillmann Werner and Felix Leder, Kaminsky soon noticed that Conficker changes the way a small piece of the Windows operating system acts. The behavior, located in pre-authentication routines before users enter file-sharing passwords, makes easy-to-identify changes to the way machines look on a network.

Itu kuncinya, jadi pada dasarnya mirip dengan tehnik deteksi operating system yang diperkenalkan oleh tools semacam nmap. Yang pasti, dari hype tersebut, tanggal 1 april conficker akan dimodifikasi secara massal. Jadi, mungkin sudah tidak bisa dideteksi dengan cara yang sama? :).

Post a Comment

2 Responses to “Mendeteksi Conficker dengan Network Scanner”

  1. d0tz says:
    April 1, 2009 at 1:06 pm

    .ada bacaan menarik disini.
    .f-secure dalam Q&A-nya.
    .http://www.f-secure.com/weblog/archives/00001636.html.
    .dan juga paper dari Felix Leder+Tillmann Werner “the honeynet project”.
    .http://www.honeynet.org/files/KYE-Conficker.pdf.

    Reply
  2. poniman_coy says:
    April 2, 2009 at 8:03 pm

    wah tg 1 ? tadi siang browsing tiba2 di layar keluar tulisan conflicker…serem ah…tp untung deh nod32 bisa quarantina tuh conflicker…berdoa aja deh biar gk kena..keeek thanks infonya gan….

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *