Come posso sapere se ho il virus Citadel senza scaricare un antivirus?

20

Recentemente ho ricevuto una e-mail da Virgin Media che indica che potrei avere il virus Citadel. Ovviamente suona come un falso messaggio di posta elettronica, ma sono quasi sicuro che sia autentico, dato che avevano il mio nome e numero di conto, e una versione generica dell'e-mail disponibile su virginmedia.com, qui:

link

Sono andato sul sito di Bitdefender per fare la scansione online gratuita, e dopo trenta secondi mi ha detto che ero al sicuro, ma non ero troppo rassicurato dal fatto che potesse controllare tutto il mio disco così velocemente.

Non ho alcun tipo di software di sicurezza, dato che normalmente sono abbastanza attento a ciò che scarico e ai siti che visito, ma in passato, quando ho commesso degli errori, sono riuscito a trovare i file installati e disinstallarli, ma tutte le mie ricerche non possono dirmi cosa cercare, e se questo è un virus corretto piuttosto che il normale adware, potrebbe essere più complicato di quanto pensassi.

Qualcuno può consigliare cosa dovrei fare, a quanto pare questo virus è abbastanza bravo a nascondersi dagli antivirus, ma se l'unico modo per scoprire se è sulla mia macchina è scaricarne uno intelligente ed eseguirlo in modalità sicura I farà.

    
posta Qiri 07.09.2014 - 23:32
fonte

3 risposte

25

Se non ti piace installare un antivirus, puoi sempre utilizzare un disco di ripristino per eseguire la scansione del tuo sistema.

  • Non richiedono installazione
  • Di solito sono gratuiti
  • Possono cacciare e rimuovere il virus anche quando è collegato a un file di sistema, cosa che di solito non puoi fare su un sistema live

Kaspersky Rescue Disk link

Avira Rescue System link

CD di ripristino di Bitdefender link

AVG Rescue CD link

Dr. Web LiveDisk link

    
risposta data 08.09.2014 - 00:02
fonte
23

La Cittadella è un trojan furtivo e non facile da rilevare. L'ISP ha rilevato ciò in base al fatto che l'IP assegnato all'utente sta effettuando connessioni di rete in uscita verso indirizzi IP noti per ospitare il traffico Citadel C & C.

Puoi verificarlo da solo monitorando il tuo traffico in uscita su alcuni degli IP elencati di seguito.

Si noti che ho trovato questo elenco su: link e questo elenco potrebbe essere obsoleto. Ho eseguito una ricerca inversa dei domini elencati online.

92.53.97.205, 91.243.115.83, 206.208.115.125, 107.22.60.126

Puoi verificarlo usando netstat. Aprire il prompt dei comandi e digitare:

netstat -an 1 | find "92.53.97.205 91.243.115.83 206.208.115.125 107.22.60.126"

Questo monitorerà continuamente tutto il traffico dal tuo host agli IP elencati sopra.

Se vedi hit, ad esempio "SYN Sent", significa che il tuo sistema è infetto da questo trojan. Le tue possibilità di rilevare questo traffico si basano esclusivamente sulla corrispondenza con gli IP elencati sopra.

Segui le linee guida di base e cambia tutta la password dell'account utente accessibile dal tuo host.

    
risposta data 08.09.2014 - 00:26
fonte
3

Collegati a Internet tramite un altro computer con 2 schede NIC (o un router su cui hai accesso alla shell e puoi eseguire tcpdump ), quindi esegui un'acquisizione di pacchetti (se sei su un computer puoi utilizzare il Wireshark grafico che è più facile da usare) e quindi cercare il traffico sospetto diretto verso i server C & C del malware.

Questo metodo è estremamente efficace poiché nessun rootkit può nascondere il suo traffico dagli occhi di un'altra macchina non compromessa. Non completamente a prova di proiettili, ma abbastanza buono contro la maggior parte dei malware.

    
risposta data 08.09.2014 - 12:05
fonte

Leggi altre domande sui tag