Browser dirottato: come risolvere e prevenire?

Naviga le tue risposte
8

Per la seconda volta in un mese, il mio PC di lavoro è stato infettato da malware che sta violando i risultati di ricerca di Google in Firefox. Una ricerca per le ricerche dirottate dall'URL finisce quando non si presenta nulla su siti che ritengo affidabili.

La prima volta che è successo il nostro fornitore IT ha installato Malwarebytes Anti-malware e questo sembrava rimuoverlo, ma ora è tornato. Non mi piacciono le correzioni reazionarie, voglio mantenere il mio sistema pulito e sicuro.

Domande:

  1. Quali sono i rischi per la sicurezza di questo dirottamento?
  2. Come lo rimuovo completamente?
  3. Come va sul mio computer? (download drive-by, incorporato in allegato e-mail, ecc.)
  4. Come posso evitare che si ripeta?

Grazie.

Paul

aggiornamento 12 maggio 2011: 1. Il PC è stato scansionato da Malwarebytes, Spybot e Ad-aware. I cookie di rilevamento trovati sono 5, nient'altro. Gli altri due scanner hanno riportato un certificato di buona salute.

  1. Oltre ai 3 pacchetti antimalware di cui sopra, il mio PC esegue Symantec Client Security / Symantec AV.

  2. Una scansione precedente in aprile di Malwarebytes registrava la presenza di Heuristics.Shuriken e notava che era stata messa in quarantena con successo.

  3. A questo punto solo Firefox mostra sintomi di infezione.

AGGIORNAMENTO 20 maggio 2011:

  1. Dal mio post originale, NoScript è stato installato in Firefox. Quando faccio una ricerca su Google, NoScript mostra la sua barra di avviso e nell'elenco delle fonti di script è un dominio che una ricerca WHOIS mostra come registrato a Hong Kong.

  2. Ho continuato a eseguire la scansione giornaliera con più pacchetti antimalware e tutti non segnalano file sospetti.

  3. Il mio sistema continua a degradarsi. La velocità sta soffrendo, i programmi si bloccano, Outlook non può cercare nelle mie e-mail. È il momento per il "nuke from orbit" suggerito in precedenza.

posta Paul S. 11.05.2011 - 15:56
fonte

5 risposte

6

1. Quali sono i rischi per la sicurezza di questo dirottamento?

Se si tratta di un semplice reindirizzamento del browser, i rischi potrebbero essere limitati. Il loro modello di business potrebbe semplicemente essere quello di infettare ampiamente e guadagnare denaro indirizzandoti su siti pubblicitari. Non per allarmarti inutilmente ma il pericolo è che il modus operandi standard in questi giorni è quello di compromettere una macchina e quindi scaricare un cocktail di malware (trojan, keylogger ecc.) E utilizzare la macchina in una bot-net

2. Come lo rimuovo completamente?

L'unico modo per essere assolutamente sicuri è eseguire un formato completo dell'unità e ripristinare dal backup (utilizzare il supporto di reinstallazione del sistema operativo per formattare l'unità). Aggiorna tutte le patch e installa l'AV aggiornato da un altro computer prima di riconnettersi a Internet. Tuttavia, potrebbe non salvarti se esiste un kit root nascosto che rende una parte del disco non scrivibile che potrebbe richiedere un nuovo disco rigido o un aggiornamento del BIOS nel peggiore dei casi. Come ha detto @ Rory-Alsop, contatta i venditori di AV per il tuo particolare ceppo per determinare le procedure di rimozione ottimali. Ho trovato Hijack particolarmente buono in passato (http://free.antivirus.com/hijackthis/). Non è un programma automatizzato ma ti consente di esaminare e esaminare manualmente elementi come i hook del browser, che di solito è il tipo di malware di reindirizzamento che funziona.

3. Come va sul mio computer? (download drive-by, incorporato nell'e-mail allegato, ecc.)

Non c'è modo di saperlo con certezza. Avrebbe potuto essere un sito web anche legittimo, e-mail come dici tu, anche un'unità USB infetta.

4. Come posso evitare che si ripeta?

Abbi cura di te. Passaggi chiave:

  • Utilizza e mantieni un aggiornamento antivirus. Quelli gratuiti sono Clam AV, essenziali per la sicurezza di Microsoft
  • Applica tutto regolarmente - utilizza software con aggiornamento automatico
  • Riduci a icona il software con superfici di attacco di grandi dimensioni come Adobe Flash, Acrobat, MS Office, Java. Esistono buone alternative open source come Open Office, PDF Creator. Milioni di persone hanno dispositivi iOS senza Flash - non ne hai bisogno.
  • Utilizza semplici estensioni del browser come HTTPS Ovunque e Nessuno script
  • Installa e gestisci un firewall personale. Windows ha uno e così fa la maggior parte dei pacchetti AV
  • Non utilizzare password fornite dal fornitore o semplici. Utilizza un gestore di password . Considera modificare almeno le tue password importanti
  • La cosa più importante: praticare una buona igiene di Internet; non facendo clic su alcun collegamento da mittenti che non riconosci, non aprendo email da mittenti che non riconosci. Evita i siti che potrebbero essere dannosi per la salute dei tuoi computer e il tuo matrimonio!
risposta data 11.05.2011 - 17:09
fonte
2

Le risposte finora sono state azzeccate, ma non credo che una riformattazione completa sia ancora in ordine. Suona onestamente come se avessi una variante TDSS. Prova a eseguire lo strumento di rimozione di Kaspersky TDSS. Puoi trovarlo qui: link Facci sapere che cosa risulta.

Dovrebbero essere eseguiti anche alcuni controlli di base. Hai controllato le impostazioni del proxy nel tuo browser? Hai controllato le impostazioni DNS sul tuo NIC? Hai controllato il tuo file HOSTS per le voci sconosciute? Questi sono tutti obiettivi comuni per i redirector.

Non ho visto un virus che non può essere rimosso con abbastanza tempo e pazienza. Di solito la riformattazione e la riconfigurazione di tutto finisce per essere più veloce, ma non dovrebbe essere richiesto in ogni situazione.

    
risposta data 19.04.2012 - 15:00
fonte
1

Questa domanda non è realmente sull'argomento per questo sito, tuttavia alcuni elementi sono così:

Alcune risposte =

1 Quali sono i rischi per la sicurezza di questo dirottamento?

L'intero computer potrebbe essere compromesso, dato che pochissimi browser sono aggiornati. Potresti avere un client botnet o keylogger installato. Le probabilità sono che l'exploit possa non essere andato così lontano ed è solo un server spam, ma vale la pena pensare al caso peggiore in modo da poter decidere quale rimedio può essere richiesto, da un clean pulito a un lift-off completo e nuke dall'orbita.

2 Come lo rimuovo completamente?

Questa è una domanda che vorresti veramente chiedere a uno dei siti dei grandi produttori di antivirus - non è in discussione qui.

3 Come si ottiene sul mio computer? (download drive-by, incorporato nell'e-mail allegato, ecc.)

Potrebbe essere uno dei precedenti: la maggior parte dei payload è disponibile per un numero elevato di rotte.

4 Come posso evitare che si ripeta?

La chiave qui è l'applicazione delle patch: se hai aggiornato le patch, rimuovi un'alta percentuale di percorsi di exploit. Ma ricorda che nulla ti proteggerà al 100% a meno che non scolleghi il computer e lo spegni. I miglioramenti della sicurezza derivano da controlli tecnici, processi, comportamenti ecc.

Ricorda che il tuo computer potrebbe essere stato compromesso in modo tale che una superficie pulita potrebbe non essere sufficiente. Un rootkit può nascondersi in modo molto efficace e l'applicazione di patch su una casella di root non ti proteggerà.

Potresti assicurarti di eseguire le opzioni di sicurezza nel tuo browser e alcuni browser sono considerati più sicuri di altri. Almeno assicurati di essere nella versione più aggiornata.

    
risposta data 11.05.2011 - 16:42
fonte
0

Oltre alle altre risposte eccellenti:

Raccomando Secunia PSI. Esegue periodicamente una scansione del dispositivo per verificare se si dispone di versioni di software con difetti di sicurezza noti e semplifica l'aggiornamento del software e mantiene tutto il software sul computer completamente aggiornato. Ciò potrebbe aiutarti a prevenire l'infezione in futuro.

Raccomando anche di attivare l'aggiornamento automatico su tutti i software che puoi.

Ecco una pagina Web che ho utilizzato con le risorse per rimozione di malware da Windows . Ma - se è la tua macchina da lavoro, forse puoi lasciare tutto questo al tuo personale IT?

    
risposta data 19.04.2012 - 21:28
fonte
0

Ecco un howto ben mantenuto per la sicurezza del browser con programmi, principi e collegamenti: link

    
risposta data 30.10.2015 - 06:08
fonte

Leggi altre domande sui tag

Esiste una best practice sui file PDF sul sito web? Crea il backup Yubikey con chiavi PGP identiche