¿Malware robó un archivo ejecutable en mi computadora? Parece improbable

Navega tus respuestas
2

Si no quieres leer todos los detalles, salta al final; Haré un resumen.

Creé un programa de computadora como prueba de concepto (lo combiné en 12 horas, así que lo escribí en Visual Basic para hacerlo rápidamente). Normalmente estaría usando Linux pero mi cliente quería una versión de Windows, por lo que recurrí a VB.

De todos modos, el programa fue diseñado para una empresa de alquiler de computadoras; si una computadora se alquila a un cliente se pierde, se la roban o el cliente deja de pagar, la computadora puede ser bloqueada y rastreada de forma remota. Conseguí que funcionara la prueba de concepto y la instalé en 4 computadoras con Windows XP. Mostré esas 4 computadoras a mi cliente y les mostré el software.

Una vez que terminé la demostración, devolví las computadoras a mi oficina y se han apagado desde entonces. Sin embargo, hoy (2 días después de la demostración) noté una computadora en mi servicio en línea (por ejemplo, mi programa se instaló en otra computadora). El modelo de la computadora era completamente diferente a las computadoras que estaba usando y el número de serie se informó como "Ninguno".

Además, noté que la misma computadora se registra 4 veces en el espacio de 2 minutos desde diferentes lugares del mundo (según la búsqueda de direcciones IP). Es posible que haya 4 computadoras idénticas en diferentes ubicaciones que ejecutan el software casi al mismo tiempo (el número de serie era 'Ninguno', por lo que no podía saber si realmente eran computadoras diferentes o no).

No entiendo cómo sucedió esto porque creé el software en una Máquina Virtual ejecutando una instalación limpia de Windows XP con antivirus (la máquina host ejecutaba Linux). Las 4 máquinas de demostración también fueron instalaciones limpias con antivirus y se actualizaron completamente. Esto significa que durante los 15 minutos que esas computadoras se conectaron a la red de mis clientes, el programa de alguna manera se filtró. Las computadoras nunca me dejaron de ver, nadie más que yo las he accedido.

¿Cómo es eso posible y por qué el malware se dirige a un archivo .exe?

Summary

  • Software creado en una instalación limpia de Windows XP en una máquina virtual (el host ejecutaba Linux)
  • Instaló el software en 4 computadoras y las conectó a una red desconocida por no más de 15 minutos
  • Nadie tocó las computadoras además de mí
  • El software se ejecutó desde 4 conexiones de Internet diferentes en lo que parece ser la misma computadora dos días después de desconectar las computadoras de la red desconocida (las computadoras nunca se volvieron a encender después de estar conectadas a esa red).

El software es de código cerrado y nunca fue entregado a nadie.

Si era malware, ¿por qué robó un archivo .exe?

    
pregunta Joseph 05.02.2014 - 23:10
fuente

3 respuestas

5

La parte más importante de esta publicación es "con antivirus".

¿Tiene activadas las presentaciones automáticas? Si es así, esas computadoras podrían haber enviado un 'envío automático' a la nave nodriza AV en algún momento. Podría haberse marcado para evaluación y posiblemente ejecutarse en un entorno controlado para ver qué comportamiento exhibiría. Estos entornos suelen ser globales, ya que a veces el software malicioso hace cosas diferentes si se ejecuta desde una subred / país diferente.

La otra posibilidad (discutida por otros) podría ser que sea un escaneo de puertos al azar o un motor POST en busca de vulnerabilidades en el puerto en particular que está utilizando. Debe ingresar las direcciones IP que lo están contactando en una lista de abuso y ver si son escáneres conocidos.

Mike

    
respondido por el MToecker 15.04.2014 - 23:44
fuente
0

parece que su software debería tener algún tipo de autenticación con su 'servicio en línea'

Si su servicio en línea se hace ping, ¿informaría eso como un usuario conectado? ¿Es posible que solo un robot golpee su servicio en línea?

    
respondido por el dprogramz 05.02.2014 - 23:49
fuente
0

Para ser honesto, esto me suena como si alguien o algún otro programa cometiera un error y se pusiera en contacto con su servidor en lugar de con el que tenían que contactar. Pero si realmente quieres probar, simplemente rastrea su computadora. Eso funcionará si están ejecutando su software y arrojará un error si no lo están. Para ser honesto, realmente dudo que alguien con las habilidades necesarias para acceder a su sistema de archivos en 15 minutos sea tan descuidado como para dejar rastros de que robaron su programa.

    
respondido por el KnightOfNi 06.02.2014 - 00:10
fuente

Lea otras preguntas en las etiquetas

¿Por qué GSM no utiliza ningún modo de cifrado de flujo (OFB, CFB)? ¿Qué opciones están disponibles para implementar DLP? [cerrado]