Ho un computer con Windows 8.1 che sembra comportarsi in modo strano e diventa lento giorno dopo giorno. Credo che possa essere vittima dell'infezione da Trojan (RAT) di accesso remoto.
Come ascolto le porte sul mio PC e come posso chiuderle se necessario?
Come deduco che una porta sia associata a un RAT e come la chiudo? Netstat sarà di qualche utilità in questo senso?
Prima di tutto, dovresti controllare che il tuo firewall sia abilitato in Windows. Assicurati che non ci siano eccezioni strane in esso elencate. In secondo luogo, installare ed eseguire gli scanner antivirus per l'intero sistema. È possibile eseguire 'netstat -aon' dal prompt dei comandi per vedere tutte le porte di "ascolto". Controlla anche dal task manager se hai processi strani con i privilegi di sistema, anche qualcosa di benigno come "notepad.exe". Anche se, se il colpevole ti ha infettato con un rootkit, tutto può sembrare normale e non puoi trovare nulla di sospetto usando i metodi precedenti. In tal caso è possibile utilizzare solo il monitoraggio del traffico e l'analisi per rilevare eventuali anomalie in esso.
Spesso il malware può tentare di mascherare se stesso, quindi se sei compromesso potrebbe essere difficile da rilevare sul sistema stesso. Non so molto sull'uso di questo sistema, ma spostarlo più lentamente potrebbe significare adware se naviga su molti siti web. Ancora un po 'malizioso ma non proprio la stessa intenzione di un RAT. Potresti considerare di eseguire la ricerca spybot e distruggere o malwarebytes per vedere se trovano qualcosa di interessante. Process Explorer potrebbe aiutarti a localizzare strani processi. È anche possibile eseguire qualcosa come wireshark e visualizzare il traffico di rete in uscita dal dispositivo. Potresti potenzialmente individuare qualcosa di sospetto lì, ma ovviamente eseguirlo con tutto il resto chiuso per eliminare il rumore. Questo potrebbe essere solo un altro problema del sistema operativo sottostante e non dannoso, si potrebbe tentare di eseguire un ripristino del sistema operativo sul sistema e vedere se è stato risolto. Se questo fosse in un ambiente aziendale e potessi cambiare intorno alla mia infrastruttura, tenterei di impostare una porta SPAN e catturare il traffico proveniente da quell'host in modo da poter vedere cosa sta facendo, in modo che il malware non potesse alterarlo.
Avrai bisogno di un hub Ethernet, non di uno switch (disponibile a basso costo su eBay) e di un secondo computer. Collegare il computer Win8.1 all'hub e collegare la connessione Internet anche all'hub. Il computer Win8.1 ora ha la connettività attraverso l'hub.
Scarica Wireshark sul secondo computer e installalo. Collega anche il secondo computer all'hub, avvia Wireshark e mettilo in modalità promiscua. Imposta un filtro per cercare solo l'indirizzo IP del computer Win8.1.
Ora sarai in grado di monitorare tutto il traffico in entrata e in uscita su quel computer. Sappi che ci sono "chiacchiere" normali anche quando un computer è inattivo, quindi dovrai provare a separare il chatter da qualsiasi traffico malevolo.
Se il computer sospetto fa parte di una botnet, è possibile che venga visualizzato un volume di traffico molto elevato. Questo è male. Se è in esecuzione un keylogger o altro, forse no. Accedere a un sito non importante e vedere cosa succede. (tm) (Cambia la tua password su "sito non importante" subito dopo, e da un altro computer.)
Se trovi tracce di malware, ci sono programmi di pulizia menzionati nelle altre risposte. Corso sicuro: eseguire il backup dei dati e reinstallare il sistema operativo dopo aver formattato il disco utilizzando un CD di avvio.
Leggi altre domande sui tag remote-desktop malware