WireShark intentó cargar un archivo de sistema sospechoso

3

Al iniciar Wireshark (v1.12.2, usando runas / usuario: administrador) en un antiguo sistema Windows XP SP3, Privacyware Privatefirewall me avisó que Wireshark estaba intentando cargar c: \ docume ~ 1 \ admini ~ 1 \ locals ~ 1 \ temp \ nsq18.tmp \ system.dll

¿Hay alguna manera de que esto no sea un sistema explotado? ¿Hay alguna razón legítima por la que un programa esté cargando un "system.dll" desde esa ruta?

He estado teniendo una paranoia creciente de que esta máquina ha sido pirateada, pero no he podido identificar nada. He intentado bloquear la máquina lo mejor que puedo, pero es un sistema antiguo y no soy un experto. (Solo tengo servicios mínimos en ejecución, siempre ejecuto como un usuario sin privilegios, todos los puertos están cerrados desde el exterior, etc., pero realmente siento que realmente estoy fuera de control)

    
pregunta Jonathan J. Bloggs 03.12.2016 - 08:34
fuente

2 respuestas

1

Hmm, ¿cómo instaló Wirehark en su sistema? En mi humilde opinión, lo que está mal es la existencia de un archivo system.dll en c:\Document and settings\administrator\locals...\temp (no puedo recordar exactamente cómo se nombra la carpeta temporal local en XP).

Dicho esto, las reglas de Windows especifican que un archivo DLL se busca primero en la carpeta que contiene el ejecutable. Entonces, lo que se debe a la culpa no es el hecho de que una instancia en ejecución de wireshark intente cargar una DLL desde una carpeta extraña, sino el hecho de que se pueda instalar en esa carpeta y que su instalación (o la instalación de cualquier otro programa) tenga poner un system.dll allí.

Mi consejo cuando las cosas vayan de esa manera es mantener la calma, guardar todos los datos, reinstalar el sistema (incluido el formateo del disco duro), instalar un buen antivirus (avira o avast o corregir las posibilidades gratuitas), pedir al antivirus que escanee Los datos guardados y restaurarlos. Luego, reinstale todos los programas correctamente desde fuentes oficiales o bien conocidas en lugares aceptables (una carpeta temporal no es ...). Puede o no ser posible si esta computadora tiene programas que ya no puede volver a instalar y que no quiere perder, pero es la forma más robusta y sencilla de recuperar un entorno sano.

Las alternativas son:

  • no hagas nada y reza esperando que no suceda nada peor
  • examine cuidadosamente todas las piezas de software instaladas para crear un mapa de todos los archivos y carpetas usados (buena suerte con eso ...)

Simplemente pasar el antivirus o cualquier otro software de detección automática de malware sin comprender completamente lo que pueden hacer y cuáles pueden ser sus límites no es muy diferente de la primera alternativa (solo rezar) ...

    
respondido por el Serge Ballesta 03.12.2016 - 10:43
fuente
1

Descargue la versión de 32bit Portable Apps de Wireshark directamente desde Wireshark.org no desde algún sitio de terceros donde su sistema pueda han sido comprometidos. Verifique la firma con los archivos hash si no está seguro.

Si aún se llama a esa DLL cuando ejecuta la aplicación portátil, entonces la DLL se conectó con algo dentro del explorador y existe una gran posibilidad de que su sistema se haya visto comprometido.

Siempre puede cargar cualquier archivo sospechoso en VirusTotal y lo lanzarán a varios productos de proveedores de AV diferentes para ver qué detectan.

Debe considerar seriamente mover los sistemas que se usan en entornos de producción fuera de Windows XP.

    
respondido por el Rowan Hawkins 03.12.2016 - 10:37
fuente

Lea otras preguntas en las etiquetas