¿Cómo puedo saber si tengo el virus de la ciudadela sin descargar un antivirus?

20

Hace poco recibí un correo electrónico de Virgin Media indicando que podría tener el virus Citadel. Obviamente, suena como un correo electrónico falso, pero estoy casi seguro de que es genuino, ya que tenían mi nombre y mi número de cuenta, y una versión genérica del correo electrónico disponible en virginmedia.com, aquí:

enlace

Fui al sitio web de bitdefender para hacer el escaneo en línea gratuito, y luego de treinta segundos me dijo que estaba a salvo, pero no estaba tan seguro de que pudiera revisar todo mi disco tan rápido.

No tengo ningún tipo de software de seguridad, ya que normalmente tengo mucho cuidado con lo que descargo y los sitios que visito, pero en el pasado, cuando cometía errores, he podido encontrar los archivos instalados. y desinstálelos, pero todas mis búsquedas no pueden decirme qué buscar, y si se trata de un virus adecuado en lugar del software publicitario normal, podría ser más complicado de lo que pensaba.

¿Alguien puede recomendar lo que debo hacer? Aparentemente, este virus es bastante bueno para ocultarse de los antivirus, pero si la única forma de saber con seguridad si está en mi máquina es descargar uno inteligente y ejecutarlo en modo seguro. voluntad.

    
pregunta Qiri 07.09.2014 - 23:32
fuente

3 respuestas

25

Si no te gusta instalar un antivirus, siempre puedes usar un disco de rescate para escanear tu sistema.

  • No requieren instalación
  • Generalmente son gratis
  • Pueden cazar y eliminar el virus incluso cuando está adjunto a un archivo del sistema, algo que normalmente no se puede hacer en un sistema en vivo.

Kaspersky Rescue Disk enlace

Sistema de rescate Avira enlace

CD de rescate de Bitdefender enlace

CD de rescate AVG enlace

Dr. Web LiveDisk enlace

    
respondido por el Ulkoma 08.09.2014 - 00:02
fuente
23

Citadel es un troyano sigiloso y no es fácil de detectar. Su ISP detectó esto basándose en el hecho de que la IP asignada a usted está realizando conexiones de red salientes a direcciones IP que se sabe que albergan tráfico de C y de C de la ciudadela.

Puede verificar esto por su cuenta al monitorear su tráfico saliente a algunas de las IP que se enumeran a continuación.

Tenga en cuenta que encontré esta lista en: enlace y esta lista puede estar desactualizada. Realicé una búsqueda inversa de los dominios listados en línea.

92.53.97.205, 91.243.115.83, 206.208.115.125, 107.22.60.126

Puedes verificar esto usando netstat. Abra el símbolo del sistema y escriba:

netstat -an 1 | find "92.53.97.205 91.243.115.83 206.208.115.125 107.22.60.126"

Esto controlará continuamente todo el tráfico de su host a las IP enumeradas anteriormente.

Si ve algún impacto, por ejemplo, "SYN Enviado", significa que su sistema está infectado con este troyano. Sus posibilidades de detectar este tráfico se basan exclusivamente en la comparación con las IP enumeradas anteriormente.

Siga las pautas básicas y cambie todas las contraseñas de las cuentas de usuario a las que se accede desde su host.

    
respondido por el ciphercodes 08.09.2014 - 00:26
fuente
3

Conéctese a Internet a través de otra computadora con 2 NIC (o un enrutador en el que tenga acceso de shell y pueda ejecutar tcpdump ), luego ejecute una captura de paquetes (si está en una computadora, puede usar el Wireshark gráfico que es más fácil de usar) y luego busque tráfico sospechoso dirigido hacia los servidores C & C de malware.

Este método es extremadamente efectivo ya que ningún rootkit puede ocultar su tráfico de los ojos de otra máquina no comprometida. Tampoco es completamente a prueba de balas, pero es lo suficientemente bueno contra la mayoría del malware.

    
respondido por el user42178 08.09.2014 - 12:05
fuente

Lea otras preguntas en las etiquetas