Cómo verificar si la computadora se controla de forma remota

3

Mi computadora portátil tiene Windows 7. instalado.

Un sábado por la noche no podía dormirme y simplemente estaba acostado. Entonces, de repente, alrededor de las 2 de la mañana, escuché que el ventilador de la computadora portátil se encendía y las luces de la computadora portátil empezaron a parpadear. La tapa estaba cerrada y no quería abrirla porque tenía dolor de cabeza.

El ventilador estaba encendido y las luces parpadeaban durante media hora, y luego la computadora portátil volvió a dormir. Por la mañana, revisé la computadora portátil para ver si faltaba algún archivo o si se había hecho algo. Pero no encontré ningún problema.

Esto me hizo pensar.

¿Cómo detectarías si alguien tiene un programa de acceso remoto instalado en tu computadora?

Si tiene algún programa de acceso remoto, ¿puede activar el portátil desde el modo de suspensión (lo cual creo que es posible ya que he visto algunos programas como logmein.com y similares)? Y si es así, ¿podría el usuario saber si se está accediendo a la computadora de forma remota?

Si se está accediendo a su computadora de forma remota, debe dispararla desde la órbita o, de alguna manera, simplemente puede eliminar cualquier cosa que permita acceder a su computadora.

Gracias a todos por su ayuda y explicación :) Solo pude encontrar soluciones para Linux y ninguna para Windows.

    
pregunta Quillion 06.01.2014 - 16:27
fuente

4 respuestas

1

Puede verificar las listas de puertos abiertos para ver si ocurre algo inusual. Si algo se ve raro, puedes escuchar "puerto malo"

Además, al usar alguna herramienta como processHacker, puedes ver qué están haciendo todos y cada uno de los procesos.

Volver a tu pregunta, arrancar una PC de forma remota o despertarla del sueño, probablemente no sea imposible, PERO yo diría que es bastante difícil. Especialmente arrancarlo. Incluso cuando está durmiendo, la PC debería estar escuchando en algún puerto para que el atacante remoto pueda enviar paquetes para activarlo. Ya que está escuchando una entrada desde el teclado, es probable que sea factible, pero es bastante difícil -sólo- asumo.

Y arrancarlo es aún más difícil ya que no se escuchará nada en ese momento. Pero puede haber un dispositivo conectado al USB o lo que sea.

De cualquier manera, escuchar en los puertos y ver el proceso lo ayudará a detectar cualquier malware / virus. No olvide que su PC también podría haberse convertido en un zombie que envía paquetes al exterior (el virus zombie también podría reactivar la PC), así que escuche los paquetes entrantes y salientes.

Editar: Oh, por cierto, un virus también puede iniciar tu computadora en un momento determinado. Sin embargo, esto no se hace de forma remota. Al igual que la política de actualización de Windows (que hace que su PC se inicie a las 3 am, verifique si hay actualizaciones, las instala y se apaga). Un virus también podría hacer lo mismo y conectarse al servidor maestro remoto.

TLDR; Todo es posible.

    
respondido por el cengizUzun 06.01.2014 - 16:50
fuente
4

Si se está accediendo a su computadora de forma remota, no tiene idea de cuán profunda es la infección. Nuke from orbit es el único camino a seguir.

En cuanto a la detección de programas de acceso remoto, existen escáneres fuera de línea que puede ejecutar desde muchos proveedores que buscan un malware de acceso remoto conocido. Pero, por supuesto, eso solo cubre el malware conocido.

Puede escuchar en puertos y procesos de lista, pero el malware también puede estar basado en el tiempo y solo ejecutarse en ciertos momentos o cuando ocurre cierto evento. El malware también se puede adjuntar a los procesos legítimos existentes, para que se vean completamente normales.

    
respondido por el schroeder 06.01.2014 - 16:56
fuente
1

Es muy probable que esto sea solo actualizaciones automáticas, creo ...

Dicho esto, es posible que alguien haya despertado su computadora (con wake on lan) siempre que haya tenido el control de su enrutador u otra computadora en su lan (wake on lan funciona a nivel de trama MAC, es decir, nivel 2). no funcionará a través de internet).

Siendo ese el caso, la mayoría de las cosas son falibles. Ejecutar un análisis de virus. Ejecute otro en una semana para limpiar (para cuando los proveedores estén al día con los virus más extendidos que teníamos esta semana si no podían verlos).

Si aún cree que es de su propiedad, deberá volver a formatear.

Si aún cree que es de su propiedad después de eso, es posible que se encuentren con una vulnerabilidad que dejó abierta ... o necesitará una computadora nueva porque afectó el firmware (piense en la tarjeta gráfica o en la BIOS) ; En este momento, el ángulo del firmware todavía es posible hasta ahora, pero no se ve realmente en la naturaleza.

    
respondido por el pacifist 07.01.2014 - 00:55
fuente
1

Probablemente esto no sea aplicable a su situación específica, pero es relevante para la pregunta más general.

Si tiene una segunda computadora y es capaz de detectar el tráfico que sale de la computadora sobre la que tiene dudas, entonces es posible que pueda determinar si el sistema está comprometido al observar ese tráfico. Para analizar que el tráfico está más allá del alcance de una respuesta aquí (pero hay herramientas de código abierto como SNORT (www.snort.org) que pueden ayudar a identificar el tráfico producido por los sistemas comprometidos). Una prueba simple (pero mi no es concluyente) es ver si hay algún tráfico que usted detecte, pero no hay un proceso de acompañamiento que sea visible a través de netstat. Ese es un indicador común de que un sistema está siendo tomado.

El escaneo con una solución antimalware instalada en una máquina comprometida no es confiable, ya que el compromiso se puede ocultar del motor de escaneo con ganchos en el sistema operativo.

    
respondido por el h2oliu 13.02.2015 - 16:57
fuente

Lea otras preguntas en las etiquetas