Mi è stato chiesto da un collaboratore di aiutare a risolvere un problema con un sito client remoto tramite VNC. Immediatamente dopo la connessione ho iniziato a notare alcuni comportamenti strani che sono sempre più a credere siano legati ai virus.
1) Al primo accesso a un avviso popup "services.exe" aveva smesso di funzionare.
2) Il registro degli errori di Windows ha numerose (sto parlando delle centinaia) di linee WinVNC che affermano connessioni in blacklist da tutti i diversi indirizzi IP
3) Il database di SQL Server 2005 Express non è più accessibile. In precedenza era impostato per consentire l'autenticazione di Windows ma non funziona più. Comandi di emissione come:
osql –U sa –S SQLSERVER\INSTANCE
... O simili dalla riga di comando danno errori affermando che l'autenticazione è negata.
4)
netstat-an | find /i "established"
TCP 192.168.15.20:4366 <SUSPICIOUS_IP>:1015 ESTABLISHED
netstat -b -a -n
TCP 192.168.15.20:4366 <SUSPICIOUS_IP>:1015 ESTABLISHED 3148
[services.exe]
E il kicker finale ....
5) Durante la ricerca di "services.exe" su C: \ Ne trovo due. Uno in system32, uno nel sistema, guardando le proprietà del file in system nella versione - > Scheda Nome file originale Ottengo GuardS5.exe insieme ad alcune altre voci di oddball in tutte le proprietà.
La domanda che chiedo ... come posso risolvere ulteriormente da una connessione strettamente remota? Non sarò in grado di fare la modalità provvisoria o il riavvio. In definitiva, se posso ottenere la prova definitiva che si tratta di un PC infetto, è possibile prendere provvedimenti più drastici.