De alguna manera inesperadamente mi computadora se infectó con malware

Navega tus respuestas
2

Así que me considero un usuario de computadora bastante consciente. Ejecuto Windows 7 SP1 Pro 64bit y lo actualizo. Para navegar en la web utilizo Firefox 20.0.1 - Lo mantengo actualizado. También tengo NoScript y AdBlock, ambos actualizados y en ejecución todo el tiempo. Si confío en un sitio, permito secuencias de comandos (sitios como stackoverflow, etc.). Para la protección contra virus, uso MSE. Sé que aparentemente no es el mejor software libre que existe, pero creo que sería suficiente. También señalaré que no reenvío ningún puerto a esta PC.

En el 6.05 alrededor de las 10:00 comencé a navegar por internet. Visité sitios como stackoverflow.com, teamliquid.net y otros, generalmente sitios en los que confío. También visité sitios que contenían información sobre el protocolo MPI, pero que yo recuerde, no permití que se ejecutaran scripts en estos sitios.

Alrededor de las 11:00 me fui al baño. Cuando regresé, digamos a las 11:30, noté que el software estaba instalado en mi PC ('recién instalado', resaltado en el menú de inicio). No noté este software antes de ir al baño, podría haber estado allí ya, pero creo que aún NO estaba allí.

Por lo tanto, este software se llama QType (aparentemente es un tipo rápido). De alguna manera está conectado con otro software - DealPly. Ambos se instalaron en mi PC en ese momento, sin embargo, solo QType apareció como "recién instalado" en mi menú de inicio. Este software también podría estar conectado de alguna manera a la compañía 337 Technology Limited. Cuando arranqué mis navegadores, ambos fueron secuestrados. Las páginas de inicio se parecían a Google, pero de hecho era www.qvo6.com / ... Así que, de hecho, mis navegadores fueron secuestrados.

Luego de verlo, fui a ver el Visor de eventos de Windows > Registros de Windows - > Sistema para hacer algunas investigaciones. Noté este mensaje: Información; 2013-05-06 11:15:58; Se instaló un servicio en el sistema. Nombre del servicio: Qtype Service ... Justo después de este, este servidor entró en estado de ejecución. No hay información sobre el otro software - DealPly. Lo siguiente que hice fue verificar lo que sucedió justo antes de que se instalara este servicio sospechoso mientras estaba fuera. Entonces, en el registro del sistema, los registros del sistema puedo ver que algo estaba sucediendo con mi navegador: "El servicio de brwoser de la computadora entró en estado de ejecución". y después de un par de segundos (seis segundos en cada registro, estoy mirando el cajero automático) "El servicio de búsqueda del ordenador entró en estado detenido". Este reinicio del servicio ocurrió varias veces.

Así que quería preguntarle a aquellos de ustedes, que tienen cierta comprensión en este asunto. ¿Cómo es posible que este software se instaló sin mi conocimiento? ¿Fue algún sitio que visité? ¿Es posible si he deshabilitado la ejecución de scripts en los sitios? Puede que haya scripts habilitados accidentalmente en algún sitio malicioso, pero no lo creo. ¿Es posible que no haya habilitado esos scripts y todavía se haya superado de alguna manera? ¿O es algo completamente diferente? ¿Podría ser algún PDF que abrí semanas antes? (A veces leo archivos PDF sobre cosas, como recientemente sobre CUDA, pero imagino que provienen de sitios confiables, por supuesto, este es un razonamiento ingenuo). ¿O es otra cosa? ¿El hecho de que este software se haya instalado sin mi conocimiento implica que alguien ha tomado el control de mi PC?

Ejecuto un análisis completo de MSE: no detecté virus. En este momento, estaré ejecutando algún software anti malware para deshacerse de cosas no deseadas. Estoy considerando volver a formatear la PC: esta sería la forma más segura, pero realmente no me gusta la idea de tener que instalar todos los IDE y el software nuevamente.

Esta infección realmente fue una sorpresa para mí. Siéntase libre de responder si cree que puede proporcionar alguna información sobre este asunto y tal vez explique lo que ocurrió en mi máquina, apreciaré mucho su tiempo.

También apreciaré cualquier consejo para evitar que esa situación ocurra en el futuro.

    
pregunta roxyfm 09.05.2013 - 19:02
fuente

3 respuestas

8

La respuesta fácil es: exploits del navegador. No visitar sitios "dudosos" no significa, de ninguna manera, que estés 100% seguro. Ha habido muchos casos de exploits cargados a través de flash o HTML puro / JS a través de redes publicitarias, por ejemplo (si eres un jugador, Curse lo tuvo hace dos años).

Incluso si todo lo que tienes está actualizado, todavía hay formas de evitarlo. Cada año se realizan competiciones de pirateo con el único objetivo de demostrar que los exploits de 0 días (exploits utilizados antes de que el fabricante se dé cuenta del exploit) aún están vivos y en juego. Pwn2own demostró esto bastante claramente cada año que se ejecutó. Tomemos, por ejemplo, los resultados de 2011:

  • el stock IE (sin complementos) cayó el día 1
  • Safari (última + mac totalmente parcheada) también cayó el día 1
  • Todos los teléfonos fueron hackeados el día 2
  • Al final del concurso, Chrome y Firefox quedaron sin hackear.

"Hackeado" significa en este caso que el pirata informático tuvo acceso a la ejecución del programa (ejecutando calculator.exe como prueba) y E / S del disco (escribiendo un archivo en el disco).

En 2012, Chrome cayó, por cierto. Junto con Firefox.

Todo esto es para decir que, sin importar qué, un sistema completamente parchado no es igual a "seguro". Por lo que parece, has sido víctima de un ataque automovilístico. DealPly ha sido reportado para hacer esto, por cierto. Un aviso de seguridad completo está disponible en Symantec .

P.S: si está ejecutando IE7 u 8 ... Ninguno de ellos tiene un sandbox.

    
respondido por el Sébastien Renauld 09.05.2013 - 19:11
fuente
2

Además de lo que está haciendo para su seguridad, considere lo siguiente:

  1. Prepárese para el peor escenario ( Rootkits ) y cree una imagen de cada sistema operativo en su PC en diferentes etapas (es decir, Después de instalar y actualizar el SO, se instalan programas comunes y actualizado ...) y actualizarlos y reemplazarlos periódicamente. Entonces en caso de la misma manera que te sucedió, puedes retroceder a un estado estable. Enfermo No confíes en una computadora que ya tienes simplemente eliminando malware o retroceder a un punto de restauración. Puede usar CloneZilla para crear / restaurar imágenes. Agregué personalmente un menú de arranque a su CD en vivo junto a mi otro GRUB opciones de arranque.
  2. Mueva sus datos fuera de línea a otras particiones que no sean OS, restaurando un Imagen de su personal (por ejemplo, My Documents ) y datos de la aplicación no ser sobrescrito.
  3. Sincronice sus datos en línea adecuadamente, es decir, utilizando Firefox Sync para mientras que en una restauración de imagen no toque sus datos fuera de línea, su Los datos en línea se sincronizan fácil y rápidamente después de la restauración. Junto a copia de seguridad de datos fuera de línea en otros medios, por ejemplo, DVDs tus datos online ya está respaldado.
  4. Utilice el almacenamiento en línea para clonar sus datos confidenciales. Actualmente hay una guerra de almacenamiento en línea se está ejecutando y hay muchas opciones disponibles pero personalmente creo en los que son compatibles con los proveedores de sistemas operativos, p. Ubuntu One sobrevive a largo plazo.
  5. Use un firewall personal, es decir, Comodo para encontrar malwares en primeras etapas. Para un profesional los antivirus tienen pocos beneficios. Ellos acaba de detectar malware que se han hecho lo suficientemente famosos por lo que si un malware es en su Window Period AV no lo reconoce.
  6. Use máquinas virtuales cada vez que ejecute una aplicación que no sea de confianza (o en una caja de arena). No te animo a usarlo para la navegación diaria a menos que visitan sitios web sospechosos ocasionalmente (tal vez debido a Naturaleza de tu trabajo, por ejemplo. como un ciber-policía).
  7. Harden su sistema operativo.
  8. Otras opciones son diferentes herramientas de seguridad, por ejemplo, IDS, Anti-Malwares, Anti-Rootkits que deben utilizarse bajo demanda.
respondido por el Xaqron 10.05.2013 - 07:39
fuente
1

Diría que la explicación más probable de cómo se instaló este programa es que había algo más instalado en el pasado que instaló algo nuevo. Podría ser algún tipo de barra de herramientas u otro programa potencialmente no deseado que se haya estado ejecutando y que haya traído algo nuevo.

    
respondido por el Alex Cannon 29.03.2018 - 18:19
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las tasas realistas para el hash de fuerza bruta? Efectivamente, haga un Pentest en un sitio de Wordpress