Esistono bombe logiche che vengono eseguite quando il file viene cancellato?

2

Voglio eliminare un file dannoso sospetto da un server. Ai fini di questa domanda, supponiamo che il computer infetto sia Windows Server 2003 o successivo.

C'è qualche rischio nell'eliminazione di un file di questo tipo? Specificamente, ci sono delle bombe logiche che sono note per essere eseguite quando un file viene cancellato, vale a dire che la condizione di innesco è che un utente tenta di cancellare il file?

Oltre all'aggiornamento del mio database dei virus, quali precauzioni dovrei prendere?

    
posta Aaron Newton 16.02.2014 - 08:43
fonte

2 risposte

6

Se la macchina è già infetta, è molto difficile sapere cosa sta succedendo. Non ci si può più fidare di più.

Il malware stesso potrebbe essere seduto nella memoria e guardare i suoi file. È certamente plausibile che un malware lo faccia, in particolare in modo che possa rigenerare i file cancellati. Ricorda quei malware autorun? Ogni volta che li hai cancellati dai tuoi dischi sono magicamente ricomparsi? Sì, è più o meno così.

L'unico modo per pulire la tua macchina e assicurarti di "nuke dall'orbita" .

    
risposta data 16.02.2014 - 11:24
fonte
0

C'è un meccanismo in Windows che aggancia il processo di avvio per caricare determinati driver o altri processi di sistema critici all'avvio. Se il computer è infetto da un rootkit, probabilmente fa qualcosa di simile per riconfigurare il kernel di Windows per eseguire l'offerta del rootkit.

A seconda di come viene impostato, l'eliminazione dei file associati non rimuove il malware in modo pulito, ma porta invece a un errore STOP (schermata blu) all'avvio con un sistema non di avvio. Molto probabilmente, questo malware si inietterà nelle configurazioni "last known good" e "safe mode", il che significa che l'unico modo per "pulire" il sistema significherebbe usare un disco di avvio alternativo e districare scrupolosamente il disordine risultante. Il livello di esperienza che questo richiede di fare correttamente è in qualche modo alla pari con "sviluppatore del kernel Windows con molta esperienza."

Anche se non lo è, in senso stretto impossibile pulire adeguatamente un sistema pesantemente infetto, è straordinariamente difficile, soggetto a errori, e di solito molto più costoso che ricominciare da capo.

    
risposta data 17.02.2014 - 00:07
fonte

Leggi altre domande sui tag