Quali passi posso fare per identificare quale tipo di compromissione del mio computer si è verificato

2

Sono stato coinvolto in uno strano scenario oggi :-). Qualche file / worm / virus "UDPAgent.exe" stava tentando di accedere al sistema del mio collega e il programma antivirum stava mostrando che questa particolare cosa proviene dal mio ip anche se non avevo idea di quel particolare trojan / worm / virus.

Qualche idea / ipotesi / aiuto nell'individuazione del problema sarebbe molto apprezzata?

Dopo la risposta di Rory, le mie domande sarebbero: 1 - Qualcuno nel forum aveva già visto programmi / script di questo tipo? 2 - quale indagine posso eseguire sul mio computer quando sospetto che sia compromessa?

Grazie Rory!

    
posta p_upadhyay 06.05.2011 - 11:24
fonte

2 risposte

2

Dalla tua menzione di udpagent.exe sembra che tu sia stato colpito da un payload del kit exploit cinese, udpagent.exe è uno strumento molto comune che viene scaricato ulteriormente dopo che è stato eseguito il vero carico utile per tentare di compromettere più macchine su una LAN. Tendo a vederlo più comunemente con i payload del malware fuori dalla Cina. Sono d'accordo con la maggior parte dei suggerimenti di Ormis di cui sopra poiché Hijackthis è un ottimo strumento per determinare le posizioni dell'infezione e, si spera, rimuoverlo con la guida di una Mod di Forum sui Forum di Hijackthis. Tuttavia, seguendo le mie regole in materia di malware in questi giorni, suggerirei di rimuovere la macchina da qualsiasi connessione di rete, cambiando tutti i nomi utente e le password da una macchina pulita e eseguendo DBAN sulla scatola www.dban.org. Ho a che fare con centinaia di casi come questo ogni giorno e molto spesso vediamo eseguibili MOLTO persistenti, bypassando AV e filtrando tutti i dati utili nel momento in cui vengono rimossi tramite AV, Combofix, Hijackthis, dispositivi di rimozione di rootkit specializzati e simili. Quindi, per riassumere, nuke l'unità.

    
risposta data 15.08.2011 - 16:20
fonte
3

Bene, quindi non ho intenzione di delineare un'intera procedura di risposta agli incidenti, ma ti darò un punto di partenza.

Scarica ed esegui questo strumento. È fondamentalmente un'istantanea approfondita dei processi in esecuzione sulla tua macchina. Se si ha qualcosa in esecuzione sul proprio computer, 9.5 possibilità su 10 verranno visualizzate nel report hijackthis. Ora dirò anche che se sei nuovo a questo tipo di cose, il rapporto che ne risulta è piuttosto difficile da elaborare, ma se sei su altri forum a parlare di questo, allora vorranno vedere quel rapporto.

Inoltre, ti consiglio di dare un'occhiata alle risposte proposte a questa domanda che delinea alcuni passaggi generali che si può prendere per mitigare le minacce. Come dicono le risposte, l'unico modo infallibile per assicurarsi che tu non sia infetto è iniziare da zero; Pulisci il disco e ricomincia.

Un ultimo commento, se ti capita di scoprire che hai rootkit / malware x o y puoi quindi cercare lo strumento che lo rimuove meglio. So che ci sono state un sacco di volte in cui gli strumenti di rimozione di Kaspersky Rootkit hanno salvato il mio posteriore. Ma devo ancora avvertire che se rimuovi un'entità non significa che hai risolto il tuo problema. Quando riesci a rimuovere il malware, non hai modo di sapere se si tratta dell'attacco iniziale, il risultato di un problema più grande o l'unico caso di malware sulla macchina.

    
risposta data 06.05.2011 - 17:29
fonte

Leggi altre domande sui tag