nmap'in yeni sürümü (nmap-4.85BETA5) , conficker solucanını tespit edebiliyor. Bilindiği gibi solucanın 1 Nisan 2009 tarihinde yeniden aktive olacağı söylenmekte. Bu nedenle kontrollerinizi yapmanız yararınızadır.

Aşağıdaki komutu kullanarak kontrol yapabilirsiniz.

# nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 IP_ADDRS

Not: IP_ADDR yerine 192.168.1.0/24 gibi bir class belirtebilirsiniz. Bu şekilde ilgili ip networkündeki tüm makineler taranacaktır. Komutun sonuna > /sonuc.txt gibi bir ifade eklerseniz de çıktılar /sonuc.txt dosyasına yazılacaktır.

Temiz bir host için alacağınız sonuç aşağıdaki gibidir.

Host script results:
|  smb-check-vulns:
|  MS08-067: NOT RUN
|  Conficker: Likely CLEAN

Eğer taradığınız sunucuda solucanın bulunması durumunda sonuç şu şekilde görünür.

Host script results:
| smb-check-vulns:
| MS08-067: NOT RUN
| Conficker: Likely INFECTED

Not: MS08-067: NOT RUN ifadesi, ilgili patch'in kontrol edilmediğini belirtir. Bunun nedeni komutta –script-args safe=1 ifadesini kullanmızdan kaynaklanmaktadır. Eğer sisteminizde MS08-067 patch'i yüklü değilse, patch kontrolü yapmak sistemin crash etmesine neden olabilir. Bu nedenle safe=1 diyerek bu kontrolü geçiyoruz. Zaten patch geçilmiş durumda ise, sonuç olarak Likely CLEAN verilecektir. Eğer INFECTED sonucunu alıyorsanız, bu durum aynı zamanda ilgili patch'in geçilmemiş olduğunu da göstermiş olur.

Nmap'i Windows üzerinde ya da *nix tabanlı işletim sistemlerinde çalıştırmanız mümkün. http://nmap.org/download.html adresinden download edebilir ve kolayca sisteminiz yükleyip networkünüzü tarayabilirsiniz.

update (01.04.2009 – 10:22): Nmap'in yeni sürümü (nmap-4.85BETA6) biraz önce duyuruldu. Sisteminizdeki nmap'i update etmeniz önerilir.

# svn co --username guest --password "" svn://svn.insecure.org/nmap/

Kaynaklar:

http://nmap.org/nsedoc/scripts/smb-check-vulns.html

http://www.net-security.org/secworld.php?id=7252