Identifikasi Conficker di Jaringan
Dan Kaminsky bersama 2 peneliti Honeynet Project, Tillmann Werner danFelix Leder, menemukan sedikit celah untuk melakukan identifikasi Conficker di jaringan. Ternyata “fake patch” yang diinstall oleh Conficker melakukan perubahan yang menyebabkan komputer Windows yang terinfeksi dapat dideteksi secara remote, anonim dan sangat cepat.
Detail teknis dari bisa dilakukannya identifikasi tersebut adalah sebagai berikut:
Conficker, in all its variants, makes NetpwPathCanonicalize() work quite a bit differently than either the unpatched or the patched MS08-067 version
Keterangan teknis secara lengkap, ada di dokumen yang dapat di download di sini.
Kedua peneliti Honeynet Project tersebut membuat proof of concept scanner yang dapat di download di sini. Dan dengan bantuan dari Rich Mogull dari Securosis dan multivendor Conficker Working Group, pembuat vulnerability scanner berikut juga dapat mendeteksi Conficker: Tenable (Nessus), McAfee/Foundstone, nmap, ncircle, dan Qualys
Tautan lain yang patut dibaca adalah:
- Containing Conficker dari ISC – Universität Bonn
- Using Nmap to scan for Conficker dari Norwegian Honeynet Project
- Fighting Back dari Norwegian Honeynet Project. Ada open source tools seperti: Domain Name Generation Tool, Memory Disinfectant, File and Registry Detector , Conficker Remote Scanner , Nonficker Vaccination Tool
