Malware sconosciuto, come segnalarlo e a chi riferirlo?

17

Sono un amministratore di sistema professionale di Windows, ma sono stato colto di sorpresa (o forse qualche scrittore di malware è stato molto intelligente) e ho rilevato alcuni malware sconosciuti sul mio computer di casa ( Windows 7 x64 SP1); deve essere molto recente e / o di tipo rootkit, perché nessun antivirus / antimalware / antitrojian / antianything sembra essere in grado di trovarlo, e ho provato abbastanza alcuni di essi (e Ho abbastanza un po 'di esperienza nell'usarli).

È andato in due giorni fa tramite Internet Explorer 8, che era completamente aggiornato, quindi questo è preoccupante da solo perché sfrutta chiaramente un buco ancora non risolto (non ho scaricato o eseguito nulla, ho appena aperto qualche pagina web ); poi ha fatto alcuni ovvi malware-cose come nascondere file e icone, lampeggiare popup di errore di sistema e riavviare il sistema, e poi ho trovato l'eseguibile principale e rimosso ... ma ha lasciato qualcosa dietro; qualcosa che è riuscito a nascondere profondamente so nel sistema che nessuno strumento è stato in grado di trovarlo, dai popolari programmi antivirus agli strumenti di rilevamento di malware altamente specifici. Naturalmente, ho anche controllato tutti i più comuni nascondigli di malware (registro, servizi, file host, componenti aggiuntivi del browser, ecc.).

Come faccio a sapere che è lì? Le ricerche di Google (sul sito di Google, non attraverso la barra di ricerca) a volte vengono reindirizzate a siti di annunci completamente indipendenti, e ho due processi di iexplore.exe costantemente in esecuzione in background (e che si rigenerano automaticamente se li uccido), non lanciati da nessuno diverso da svchost.exe (come Process Explorer documentato doverosamente) e connettendosi a siti di ricerca ovviamente falsi.

A parte l'ovvia domanda "come faccio a sbarazzarmene?", quello che mi interessa di più è ottenere un esperto che analizzi il mio sistema per trovare che tipo di bestia sia, così che sia può essere fermato prima che si spenga in natura ... se già non lo è.

Modifica: sembra che sia un rootkit; Alla fine mi sono liberato riscrivendo l'MBR e il settore di avvio dell'unità di sistema. Non so ancora cosa il codice di avvio stava effettivamente caricando, alcuni eseguibili devono ancora essere presenti ... ma almeno è inattivo ora.

    
posta Massimo 12.07.2011 - 23:47
fonte

4 risposte

13

Se riesci a trovare l'eseguibile o la dll offendente, una cosa che puoi fare è caricarla sul link . Prova anche il file svchost se ritieni che sia sospetto.

Ti mostrerà quanti motori antivirus lo individuano da un elenco enorme e inoltrerà il tuo campione, se non viene rilevato, alle aziende antivirus per l'ulteriore elaborazione e sviluppo delle firme.

    
risposta data 12.07.2011 - 23:56
fonte
7

Molti produttori di antivirus esamineranno più che felicemente un file: ad esempio, questo è link di Comodo . Microsoft inoltre dai un'occhiata .

In realtà non ho mai inviato malware a un fornitore di antivirus, ma sono abbastanza sicuro che se si tratta di un nuovo malware non eseguirai l'analisi lì e poi, se vedi cosa intendo, probabilmente otterrai un " nel database, fa questo "o" non nel database, daremo un'occhiata "al risultato del tipo, dal momento che analizzare automaticamente il malware è piuttosto difficile tranne che per un codice banale. Non sono sicuro che, anche se si trattasse di un nuovo malware, otterresti un riscontro, ma il risultato sarebbe una firma di rilevamento aggiuntiva e potenziali exploit con patch se sono sconosciuti, quindi vale assolutamente la pena fare parte della soluzione , se ti va.

In termini di esplorazione di ciò che fa in maggiore dettaglio, windbg e process monitor sono ottimi strumenti complementari per processare explorer e autoruns è un eccellente strumento per esaminare i punti di ingresso all'avvio per le modifiche.

Il consiglio standard con rootkit è un'installazione pulita da un media fidato poiché è piuttosto difficile sapere, per certo, te ne sei liberato, quindi se ritorna, questo è il mio consiglio, insieme alla messa in quarantena del sistema dagli altri sulla rete per essere sicuri che non inizi a sfruttarli.

Se si tratta di un rootkit e di uno ben scritto, potrebbe essere in grado di eludere determinati strumenti di rilevamento. Spesso, le varianti del malware vengono rilasciate dopo che il meccanismo di exploit che hanno usato è stato corretto, quindi potresti trovarti in quella finestra e questo potrebbe spiegare perché un determinato rilevatore di malware non funzioni per il malware che dovrebbe rilevare.

    
risposta data 13.07.2011 - 01:43
fonte
4

how to get some expert to analyze my system in order to find what kind of beast it is, so that it may be stopped before it goes out in the wild... if it already hasn't.

Se lo hai sul tuo sistema di casa, per definizione è in libertà. Quindi, troppo tardi per quello. Sfortunatamente per l'analisi, potresti aver distrutto un componente importante nell'MBR.

Secondo me il modo migliore per analizzare il malware sul tuo sistema sarebbe disconnetterlo dalla rete. Utilizzare una tecnica di avvio a freddo per l'immagine della RAM. Spegnere, rimuovere il disco rigido e quindi visualizzare l'unità disco rigido. Immagine qualsiasi flash sulla scheda madre, schede PCI, o qualsiasi altra cosa fornisce memoria scrivibile persistente. Quindi inizia l'analisi! Naturalmente è necessario mantenere l'hardware di sistema disponibile in uno stato non utilizzato nel caso in cui il ricercatore voglia verificare una teoria.

Oppure potresti fare come suggerisce @Ninefingers, sembra molto più semplice in questo modo.

    
risposta data 13.07.2011 - 01:44
fonte
0

Il mio consiglio è di seguire questi passaggi:

  1. Esegui una scansione online da sito web ESET

  2. È possibile creare un disco di ripristino dal sito Web di Kaspersky. Non ho mai provato me stesso, ma se dovesse contenere uno scanner da riga di comando. A volte un malware o un rootkit rimane nascosto su Windows ma può essere facilmente rimosso dalla shell. Spegnere completamente il PC e avviare dal disco di ripristino di avvio ed eseguire una scansione completa del sistema utilizzando lo scanner da riga di comando.

  3. Puoi provare anche un piccolo strumento. Si chiama Byte malware . Anche se non è un anti-virus completo, ma rileva alcuni malware maligni e strumenti falsi che altri prodotti anti-virus di marca non sono in grado di rilevare.

  4. Tramite VirusTotal, un file sospetto viene automaticamente trasferito a molti fornitori di Anti-Virus. Ma se sospetti un comportamento malware e non hai file sospetti, ti consiglio di seguire i passaggi sopra indicati. Consulta anche il forum di Kaspersky.

risposta data 13.07.2011 - 07:47
fonte

Leggi altre domande sui tag