Il malware ha rubato un file eseguibile sul mio computer? Sembra improbabile

Naviga le tue risposte
2

Se non vuoi leggere tutti i dettagli, vai al fondo; Farò un riassunto.

Ho creato un programma per computer come prova del concetto (l'ho buttato insieme in 12 ore, quindi l'ho scritto in Visual Basic per farlo rapidamente). Normalmente userei Linux, ma il mio cliente voleva una versione di Windows, quindi ho fatto ricorso a VB.

Ad ogni modo, il programma è stato progettato per una società di noleggio di computer; se un computer viene affittato a un cliente viene perso, rubato o il cliente smette di pagare, il computer può essere bloccato e monitorato da remoto. Ho ottenuto il proof of concept funzionante e l'ho installato su 4 computer con Windows XP. Ho mostrato quei 4 computer al mio cliente e ho mostrato loro il software.

Una volta terminata la dimostrazione, ho restituito i computer al mio ufficio e da allora sono stati disattivati. Tuttavia, oggi (2 giorni dopo la dimostrazione) ho notato un controllo del computer nel mio servizio online (ad esempio, il mio programma è stato installato su un altro computer). Il modello del computer era completamente diverso dai computer che stavo usando e il numero di serie è stato segnalato come "Nessuno".

Inoltre, ho notato lo stesso controllo del computer in 4 volte nell'arco di 2 minuti da diverse località del mondo (in base alla ricerca dell'indirizzo IP). È possibile che ci siano stati 4 computer identici in posizioni diverse che eseguivano il software quasi nello stesso tempo (il numero di serie era "Nessuno", quindi non saprei dire se erano realmente computer diversi o meno).

Non capisco come sia successo perché ho creato il software su una macchina virtuale con un'installazione pulita di Windows XP con antivirus (la macchina host eseguiva Linux). Le 4 macchine dimostrative erano anche installazioni pulite con antivirus e sono state completamente aggiornate. Ciò significa che durante i 15 minuti in cui i computer erano collegati alla rete dei miei clienti, il programma in qualche modo è trapelato. I computer non hanno mai lasciato la mia vista, nessuno a parte me stesso ha mai avuto accesso a loro.

Com'è possibile, e perché il malware dovrebbe indirizzare un file .exe?

Riepilogo

  • Software creato su un'installazione pulita di Windows XP in una macchina virtuale (l'host eseguiva Linux)
  • Installato il software su 4 computer e collegato a una rete sconosciuta per non più di 15 minuti
  • Nessuno ha toccato i computer oltre a me
  • Il software è stato quindi eseguito da 4 diverse connessioni Internet su quello che sembra lo stesso computer due giorni dopo aver scollegato i computer dalla rete sconosciuta (i computer non sono mai stati riattivati dopo essere stati connessi a quella rete).

Il software è closed-source e non è mai stato dato a nessuno.

Se si trattava di malware, perché ha rubato un file .exe?

    
posta Joseph 05.02.2014 - 23:10
fonte

3 risposte

5

La parte più importante di questo post è "con antivirus".

Hai attivato l'invio automatico? Se è così, quei computer potrebbero aver inviato una "trasmissione automatica" alla nave madre AV ad un certo punto. Potrebbe essere stato contrassegnato per la valutazione e probabilmente eseguito in un ambiente controllato per vedere quale comportamento mostrerebbe. Questi ambienti sono spesso globali, poiché a volte il software dannoso fa cose diverse se viene eseguito da una sottorete / paese differenti.

L'altra possibilità (discussa da altri) potrebbe essere che è la scansione casuale delle porte o il motore POST in cerca di vulnerabilità sulla particolare porta che si sta utilizzando. Dovresti inserire gli indirizzi IP che ti stanno contattando in una lista degli abusi e vedere se sono scanner noti.

Mike

    
risposta data 15.04.2014 - 23:44
fonte
0

sembra che il tuo software dovrebbe avere una sorta di autenticazione con il tuo "servizio online"

Se il tuo servizio online viene sottoposto a ping, lo segnalerebbe come utente connesso? È possibile che sia solo un robot a colpire il tuo servizio online?

    
risposta data 05.02.2014 - 23:49
fonte
0

Per essere onesti, mi sembra che qualcuno o qualche altro programma abbia commesso un errore e abbia contattato il tuo server anziché quello che hanno dovuto contattare. Ma se vuoi davvero testare, ti basta monitorare il loro computer. Funzionerà se eseguono il tuo software e generano un errore se non lo sono. Per essere onesti, dubito davvero che qualcuno con le competenze necessarie per accedere al tuo filesystem in 15 minuti sarebbe così incurante da lasciare tracce che hanno rubato il tuo programma.

    
risposta data 06.02.2014 - 00:10
fonte

Leggi altre domande sui tag

Utilizzo della chiave pubblica / privata senza certificato firmato L'app di Tumblr è attiva mentre il telefono Android è connesso al wifi di lavoro