Nmap najde i novější verze červa Conficker

28. 4. 2009

Sdílet

Ronem Bowes, jeden z tvůrců nástroje Nmap, vytvořil ve spolupráci se společností Symantec metodu, jak detekovat počítače infikované červem Conficker verze C a pozdější. Sledování funguje na základě toho, že Nmap používá stejnou komunikaci prostřednictvím P2P sítě jako červ.

Právě uvolněný Nmap 4.85 Beta 8 sleduje porty, které Conficker používá při spojení mezi infikovaným počítačem a řídicím serverem. Tato funkčnost se poprvé objevila ve verzi Conficker.C, od verze E už zcela zmizela komunikace prostřednictvím protokolu HTTP.

Nmap může například ve firemní síti předstírat, že jde o řídící server, a tímto způsobem odhalit infikované počítače, byť tato metoda zřejmě nebude účinná stoprocentně. Komunikaci mohou například rušit firewally či filtry portů. I tak je ale Nmap dobrou pomůckou tam, kde správce nemá jednoduchý přístup ke všem počítačům.

Nová verze nástroje NMap přináší i další vylepšení. Lze si ji zdarma stáhnout z webu Nmap.org.