In qualche modo inaspettatamente il mio computer è stato infettato da malware

Naviga le tue risposte
2

Quindi mi considero un utente di computer piuttosto consapevole. Corro Windows 7 SP1 Pro 64 bit e lo aggiorno. Per navigare sul web uso Firefox 20.0.1 - Lo tengo aggiornato. Ho anche NoScript e AdBlock - sia aggiornato che in esecuzione tutto il tempo. Se mi fido di un sito, autorizzo script da esso (siti come StackOverflow ecc.). Per la protezione da virus uso MSE: so che apparentemente non è il miglior software libero in circolazione, ma penso che sarebbe sufficiente. Ill indicherò inoltre che non inoltro nessuna porta a questo PC.

Il 6.05 verso le 10:00 ho iniziato a navigare in internet. Ho visitato siti come stackoverflow.com, teamliquid.net e altri, generalmente siti di cui mi fido. Ho visitato anche siti che contenevano informazioni sul protocollo MPI, ma per quanto ricordo, non ho permesso l'esecuzione di script su questi siti.

Verso le 11:00 sono andato al bagno. Quando sono tornato, diciamo alle 11:30, ho notato che il software è stato installato sul mio PC ("appena installato", evidenziato nel menu di avvio). Non ho notato questo software prima di andare in bagno, potrebbe essere già stato lì, ma penso che NON fosse ancora lì.

Quindi questo software è chiamato QType (quicktype apparentemente). È in qualche modo collegato ad altri software - DealPly. In realtà entrambi sono stati installati sul mio PC in quel momento, tuttavia solo QType è apparso come "appena installato" nel mio menu di avvio. Questo software potrebbe anche essere in qualche modo collegato alla società 337 Technology Limited. Quando ho avviato i miei browser, sono stati entrambi dirottati. Le pagine di inizio sembravano google, ma in realtà era www.qvo6.com / ... Quindi in effetti i miei browser sono stati dirottati.

Quindi, dopo averlo visto, sono andato a vedere il Visualizzatore eventi di Windows- > Registri di Windows - > Sistema per fare qualche ricerca. Ho notato questo messaggio: Informazioni; 2013-05-06 11:15:58; Un servizio è stato installato nel sistema. Nome servizio: Qtype Service ... Subito dopo questo, questo server è entrato nello stato di esecuzione. Non ci sono informazioni sull'altro software - DealPly. La prossima cosa che ho fatto è stata controllare cosa è successo prima che questo servizio sospetto fosse installato mentre ero via. Quindi nel registro degli eventi del programma degli spettatori posso vedere che qualcosa stava accadendo con il mio browser: "Il servizio computer brwoser è entrato nello stato di esecuzione". e dopo un paio di secondi (sei secondi in ciascun registro che guardano atm) "Il servizio browser del computer è entrato nello stato di arresto". Questo riavvio del servizio è avvenuto diverse volte.

Quindi volevo chiedere a quelli di voi, che hanno una certa comprensione in questa materia. Com'è possibile che questo software sia stato installato a mia insaputa. È stato qualche sito che ho visitato? È possibile se ho disabilitato l'esecuzione di script sui siti? Potrei aver accidentalmente abilitato gli script su qualche sito malevolo, ma non credo. È possibile che non abbia abilitato quegli script e che comunque sia riuscito in qualche modo? O è qualcosa di completamente diverso? Potrebbe essere un PDF che ho aperto settimane prima? (A volte leggo PDF su cose, come recentemente su CUDA - ma immagino che provengano da siti fidati, ovviamente questo è un ingenuo ragionamento). O è qualcos'altro? Il fatto che questo software sia stato installato a mia insaputa implica che qualcuno ha preso il controllo del mio PC?

Eseguo una scansione completa di MSE - non ho rilevato alcun virus. In questo momento sto eseguendo alcuni software antimalware per sbarazzarsi di cose indesiderate. Sto considerando la riformattazione del PC - questo sarebbe il modo più sicuro, ma non mi piace davvero l'idea di dover installare di nuovo tutti gli IDE e il software.

Questa infezione è stata davvero una sorpresa per me. Non esitate a rispondere se pensate di poter fornire alcune informazioni su questo argomento e magari di spiegare cosa è accaduto sulla mia macchina, apprezzerò molto il vostro tempo.

Apprezzerò anche eventuali suggerimenti per evitare che tale situazione si verifichi in futuro.

    
posta roxyfm 09.05.2013 - 19:02
fonte

3 risposte

8

La risposta facile è: exploit del browser. Non visitare siti "dubbia" non significa in alcun modo che sei al sicuro al 100%. Ci sono stati molti casi di exploit caricati tramite flash o HTML / JS puro attraverso le reti pubblicitarie, ad esempio (se sei un giocatore, Curse ha avuto questo due anni fa).

Anche se tutto ciò che hai è aggiornato, ci sono ancora dei modi per aggirarlo. Ci sono gare di hacking ogni anno con l'unico scopo di dimostrare che gli exploit 0day (exploit usati prima che il produttore sia a conoscenza dell'exploit) sono ancora vivi e vegeto. Pwn2own lo ha dimostrato abbastanza chiaramente ogni anno. Prendi, per esempio, i risultati del 2011:

  • stock IE (nessun plug-in) è caduto il giorno 1
  • Safari (ultimo + completamente patch mac) è caduto anche il giorno 1
  • Tutti i telefoni sono stati violati il secondo giorno
  • Alla fine del concorso, Chrome e Firefox non sono stati condivisi.

"Hacked" significa in questo caso che l'hacker ha avuto accesso all'esecuzione del programma (eseguendo calculator.exe come prova) e all'I / O del disco (scrivendo un file sul disco).

Nel 2012, Chrome è caduto, a proposito. Insieme a Firefox.

Tutto questo per dire che, non importa cosa, un sistema completamente patchato non equivale a "sicuro". A quanto sembra, sei stato vittima di un attacco drive-by. A proposito, DealPly è stato segnalato per farlo. Un advisory completo per la sicurezza è disponibile da Symantec .

P.S: se stai usando IE7 o 8 ... nessuno dei due ha una sandbox.

    
risposta data 09.05.2013 - 19:11
fonte
2

Oltre a ciò che stai facendo per la tua sicurezza, considera quanto segue:

  1. Preparati allo scenario peggiore ( Rootkits ) e crea un'immagine da ogni sistema operativo sul tuo PC in diverse fasi (ad es. dopo l'installazione e l'aggiornamento del sistema operativo, i programmi comuni installati e aggiornato ...) e aggiornarli e sostituirli periodicamente. Quindi nel caso come quello che ti è successo, puoi tornare a uno stato stabile. Malato non fidarti di un computer di questo tipo che hai già rimosso malware o ripristino a un punto di ripristino. Puoi utilizzare CloneZilla per creare / ripristinare immagini. Personalmente ho aggiunto un menu di avvio al suo live CD accanto al mio altro GRUB scelte di avvio.
  2. Sposta i dati offline in altre partizioni rispetto al sistema operativo, quindi ripristinandone uno immagina il tuo personale (ad esempio My Documents ) e i dati dell'applicazione lo faranno non essere sovrascritto.
  3. Sincronizza i tuoi dati online in modo appropriato, ad esempio utilizzando Firefox Sync so mentre in un ripristino dell'immagine non toccare i tuoi dati offline, il tuo i dati online vengono sincronizzati facilmente e velocemente dopo il ripristino. Accanto backup di dati offline su altri mezzi, ad es. DVD i tuoi dati online è già stato eseguito il backup.
  4. Utilizza la memoria online per clonare i tuoi dati sensibili. Attualmente c'è una guerra di archiviazione online in corso e ci sono molte scelte disponibili ma personalmente credo che quelli supportati dai fornitori di sistemi operativi, ad es. Ubuntu One sopravvive a lungo termine.
  5. Utilizza un firewall personale, ad esempio Comodo per scoprire malware fasi iniziali. Per un professionista Gli antivirus hanno pochi vantaggi. Essi prendi semplicemente malware che sono diventati famosi abbastanza se un malware lo è nel suo Window Period AV non riesce a riconoscerlo.
  6. Usa macchine virtuali ogni volta che esegui un'applicazione non sicura (o la sandbox). Non incoraggio ad usarlo per la navigazione quotidiana a meno che tu visitano siti Web sospetti occasionalmente (forse a causa di natura del tuo lavoro, ad es. come cyber-polizia).
  7. Indurizza il tuo sistema operativo.
  8. Altre scelte sono diversi strumenti di sicurezza, ad es. IDS, Anti-Malware, Anti-Rootkits che dovrebbero essere usati su richiesta.
risposta data 10.05.2013 - 07:39
fonte
1

Direi che la spiegazione più probabile su come questo programma è stato installato è che c'era qualcos'altro installato in passato che ha installato qualcosa di nuovo. Potrebbe essere una sorta di barra degli strumenti o altro programma potenzialmente indesiderato che è stato in esecuzione che ha portato qualcosa di nuovo.

    
risposta data 29.03.2018 - 18:19
fonte

Leggi altre domande sui tag

Cosa succede se l'utente non può rispondere alla domanda di sicurezza durante il reset della password? Esiste un equivalente interno a fail2ban?