¿Qué pasos puedo seguir para identificar qué tipo de compromiso de mi computadora ha ocurrido?

2

Me involucré en un escenario extraño hoy :-). Algunos archivos / gusanos / virus 'UDPAgent.exe' intentaban acceder al sistema de mi colega y el programa antivirum mostraba que esta cosa en particular viene de mi ip, aunque no tenía idea sobre el troyano / gusano / virus en particular.

¿Alguna idea / conjetura / ayuda para identificar el problema sería muy apreciada?

Después de la respuesta de Rory, mis preguntas serían: 1 - ¿Alguien en el foro había visto tales programas / scripts antes? 2 - ¿Qué investigación puedo realizar en mi computadora cuando sospecho que está comprometida?

Gracias Rory!

    
pregunta p_upadhyay 06.05.2011 - 11:24
fuente

2 respuestas

2

Por su mención de udpagent.exe, suena como si te hubieran golpeado con un paquete de exploits basado en chino, udpagent.exe es una herramienta muy común que se descarga después de que se haya ejecutado la verdadera carga útil para intentar comprometer más máquinas. una LAN. Tiendo a verlo más comúnmente con cargas útiles de malware fuera de China. Estoy de acuerdo con la mayoría de las sugerencias de Ormis mencionadas anteriormente, ya que Hijackthis es una excelente herramienta para determinar la ubicación de la infección y, con suerte, eliminarla con la guía de un Mod de foro en los foros de Hijackthis. Sin embargo, siguiendo mi propio conjunto de reglas al tratar con malware en estos días, sugeriría eliminar la máquina de cualquier conexión de red, cambiar todos los nombres de usuario y contraseñas de una máquina limpia y ejecutar DBAN en la casilla www.dban.org. Trato con cientos de casos como este a diario, y la mayoría de las veces vemos ejecutables MUY persistentes, que evitan AV y filtran todos los datos valiosos en el momento en que se eliminan mediante AV, Combofix, Hijackthis, eliminadores de rootkits especializados y similares. Así que para resumir, pulsa el disco.

    
respondido por el detro 15.08.2011 - 16:20
fuente
3

Está bien, no voy a describir un procedimiento completo de respuesta a incidentes, pero le daré un punto de partida.

Descargue y ejecute esta herramienta . Básicamente es una instantánea en profundidad de los procesos en ejecución en su máquina. Si tiene algo funcionando en su máquina, 9.5 de 10 posibilidades aparecerán en el informe de hijackthis. Ahora también diré que si eres nuevo en este tipo de cosas, el informe resultante es bastante difícil de procesar, pero si estás en otros foros hablando de esto, entonces querrán ver ese informe.

Además, le recomiendo que mire las respuestas propuestas a esta pregunta que describen algunos pasos generales que uno puede tomar para mitigar las amenazas. Como dicen las respuestas, la única manera infalible de asegurarse de no estar infectado es comenzar desde cero; Limpie el disco y comience de nuevo.

Un último comentario, si descubres que tienes x o y rootkit / malware, puedes buscar la herramienta que lo elimine mejor. Sé que ha habido un montón de veces en que las herramientas de eliminación de rootkit de kaspersky han salvado mi parte trasera. Pero nuevamente debo advertir que si elimina una entidad no significa que haya resuelto su problema. Cuando puede eliminar el malware, no tiene forma de saber si ese es el ataque inicial, el resultado de un problema mayor o el único caso de malware en la máquina.

    
respondido por el Ormis 06.05.2011 - 17:29
fuente

Lea otras preguntas en las etiquetas