Il mio computer sta tentando di scaricare qualcosa di dannoso da Dropbox?

2

Il computer di mia moglie è stato recentemente compromesso e ho provato a pulirlo.

Ho installato Microsoft Network Monitor per vedere se c'era un traffico Internet inspiegato e ho notato una connessione a Dropbox. Ecco i dettagli forniti:

URI: /subscribe?host_int=34404476&ns_map=162130732_8752065324,26351085_36339744642541,129513375_382381602719&user_id=16845707&nid=0&ts=1386575431

Host:  notify8.dropbox.com

Process Name Dropbox.exe

Nota, né io né mia moglie usano Dropbox. Ho controllato la data di installazione dell'istanza di Dropbox che si trova sulla sua macchina e ha una data di installazione di maggio di quest'anno, quindi probabilmente non è stata installata come parte di quanto virus e virus abbiano infettato la macchina.

Ho provato a fare una ricerca inversa sull'IP 108.160.162.115 e non ho ottenuto nulla.

Sembra che la macchina di mia moglie stia cercando di connettersi a un determinato account Dropbox per recuperare alcuni software (probabilmente dannosi)?

    
posta going 09.12.2013 - 09:06
fonte

2 risposte

4

Se il tuo sistema è stato utilizzato, un utente malintenzionato potrebbe manipolare le date di installazione di qualsiasi software, quindi qualsiasi cosa tu veda su un sistema compromesso deve essere trattata con il dubbio. L'indirizzo IP che hai elencato è un IP dropbox valido , ma questo non significa nulla: se scrivessi malware, avrei seriamente in considerazione l'utilizzo dropbox per distribuirlo. È robusto, completamente gratuito, e le persone probabilmente lo scontano come un vettore di minacce: "Oh, è solo una casella personale, non ti preoccupare."

Quindi è del tutto possibile che il malware installato utilizzi un processo etichettato dropbox per connettersi effettivamente a Dropbox e scaricare le ultime versioni di malware e istruzioni operative, sebbene tale scenario non sia particolarmente probabile. È molto più probabile che si tratti di un'installazione dropbox completamente legittima che non ricordi di aver installato, e quindi una falsa pista. Sfortunatamente, non c'è modo di sapere con certezza che una volta che un sistema viene violato non puoi mai fidarti di nuovo. La soluzione migliore è cancellare il sistema e ricominciare.

    
risposta data 09.12.2013 - 10:56
fonte
2

Per rispondere alla tua domanda, sembra che il laptop di tua moglie stia cercando di connettersi a quell'IP. Riavvia il computer e, senza aprire un browser, esegui netstat -ano dal prompt dei comandi.

Se vedi l'IP in quel punto - o qualsiasi altra connessione dubbia per quel problema dall'output di questo comando, prendi nota del PID (Process Identifier) associato a questa connessione dalla quinta colonna. Quindi, apri Task Manager (utilizzando Ctrl+Shift+Esc ), quindi vai a Visualizza - > Seleziona colonne ... .

Verrà visualizzata una nuova finestra di dialogo Seleziona colonne ; spunta / controlla il secondo elemento PID (Process Identifier) . Se trovi lo stesso PID che hai preso dal comando netstat -ano , questo PID sarà probabilmente correlato a un processo, che potrebbe servire da indizio su quale file sta iniziando la connessione.

Puoi quindi riavviare il computer in modalità provvisoria e rimuovere il file, se sei sicuro che ciò non comprometterà il tuo sistema operativo.

Inoltre, puoi controllare alcune posizioni standard. Si prega di controllare questa domanda una volta ho chiesto: potrebbe fornire alcune informazioni.

Rieseguire una scansione anti-virus.

Puoi anche bloccare questo IP dall'entrare o uscire dal tuo firewall perimetrale.

Detto questo, va bene se vuoi solo giocare e vedere i luoghi in cui il malware può interagire. Il corso di azione consigliato è sempre un Nuke completo del tuo sistema operativo . Sicuramente non lascerò il laptop di mia moglie con alcuni avanzi avventati.

    
risposta data 09.12.2013 - 16:35
fonte

Leggi altre domande sui tag