File infetto da potential services.exe?

3

Mi è stato chiesto da un collaboratore di aiutare a risolvere un problema con un sito client remoto tramite VNC. Immediatamente dopo la connessione ho iniziato a notare alcuni comportamenti strani che sono sempre più a credere siano legati ai virus.

1) Al primo accesso a un avviso popup "services.exe" aveva smesso di funzionare.
2) Il registro degli errori di Windows ha numerose (sto parlando delle centinaia) di linee WinVNC che affermano connessioni in blacklist da tutti i diversi indirizzi IP
3) Il database di SQL Server 2005 Express non è più accessibile. In precedenza era impostato per consentire l'autenticazione di Windows ma non funziona più. Comandi di emissione come:

osql –U sa –S SQLSERVER\INSTANCE

... O simili dalla riga di comando danno errori affermando che l'autenticazione è negata.

4)

netstat-an | find /i "established"
TCP    192.168.15.20:4366     <SUSPICIOUS_IP>:1015     ESTABLISHED

netstat -b -a -n
TCP    192.168.15.20:4366     <SUSPICIOUS_IP>:1015     ESTABLISHED     3148
[services.exe]

E il kicker finale ....
5) Durante la ricerca di "services.exe" su C: \ Ne trovo due. Uno in system32, uno nel sistema, guardando le proprietà del file in system nella versione - > Scheda Nome file originale Ottengo GuardS5.exe insieme ad alcune altre voci di oddball in tutte le proprietà.

La domanda che chiedo ... come posso risolvere ulteriormente da una connessione strettamente remota? Non sarò in grado di fare la modalità provvisoria o il riavvio. In definitiva, se posso ottenere la prova definitiva che si tratta di un PC infetto, è possibile prendere provvedimenti più drastici.

    
posta Grambot 12.12.2012 - 15:41
fonte

1 risposta

4

Sì, probabilmente sei infetto. Il processo di services.exe che hai menzionato è altamente sospetto e quando lo combini con il tentativo di intrusione via VNC, è abbastanza definitivo. Supponete che tutti i vostri dati siano stati rubati, cancellateli dall'orbita, ricominciate da capo, quindi cambiate tutte le vostre password in tutto . Sono tutti compromessi.

La prossima volta, utilizza la whitelisting degli indirizzi di origine sul tuo VNC, configura correttamente il firewall e preferisci impostare l'autenticazione basata sui certificati anziché utilizzare le password.

    
risposta data 12.12.2012 - 16:01
fonte

Leggi altre domande sui tag