¿Dónde debería comenzar a buscar si un proveedor de Internet me ha notificado de malware? [cerrado]

2

Recibí un correo electrónico más temprano hoy de mi proveedor de servicios de Internet que me dice que hay algún tipo de malware en uno de los ips de mi casa y me pidió que descargara algún software antivirus. El software antivirus enumeró los enlaces directamente a los sitios web de Norton, McAfee y AVG.

No estoy seguro si este correo electrónico es falso, ya que nunca antes había recibido advertencias de virus de mi ISP. Pero dice que tiene algo que ver con xcodeghost. No estoy seguro de qué es esto, pero al buscar en línea tiene algo que ver con los dispositivos iOS / Mac, sin embargo, el correo electrónico me está pidiendo específicamente que busque en una máquina con Windows.

Estoy totalmente confundido y no tengo idea de qué hacer. Aquí está el fragmento de mi correo electrónico:

  

Querido,

     

AT & T ha recibido información que indica que uno o más dispositivos   El uso de su conexión a Internet puede estar infectado con maliciosos   software. Tráfico de Internet consistente con una infección de malware   ("Xcodeghost") se observó el 12 de octubre de 2015 a las 5:00 AM EDT del IP   dirección xx.xx.xx.xx. Nuestros registros indican que esta dirección IP era   asignado a usted en este momento.

     

Las computadoras infectadas a menudo se usan como parte de una red de computadoras zombie   ("Botnet"). Las botnets son redes de ordenadores que han sido infectadas.   con malware y se coloca bajo el control de un hacker o grupo de   hackers A menudo se utilizan para ataques a sitios web, correo no deseado, fraude,   y distribución de malware adicional.

     

Debido a que el malware está diseñado para ejecutarse en secreto, una computadora infectada puede   No muestra síntomas evidentes.

     

Para abordar este asunto, le pedimos que realice las siguientes acciones. Si   su computadora (s) es administrada por un grupo de tecnología de la información (TI)   en su lugar de trabajo, por favor pase esta información a ellos. Si tu   use una red inalámbrica, una computadora infectada puede estar usando su   Conexión a internet sin su conocimiento. Asegúrese de que su conexión inalámbrica   el enrutador está protegido por contraseña y utiliza el cifrado WPA o WPA2 (use WEP   sólo si WPA no está disponible). Compruebe las conexiones al enrutador y   Asegúrese de que reconoce todos los dispositivos conectados. Asegure su firewall   la configuración y el software antivirus están actualizados e instalan cualquier   Service Packs o parches necesarios. Escanear todos los sistemas en busca de virus y   otro malware Herramientas adicionales e información:

     

Herramientas para eliminar rootkits, bots y otros crimeware: Norton Power   Borrador: enlace (Windows) McAfee   Removedor de rootkit:    enlace   (Windows) Herramientas para la eliminación general de virus y malware: Microsoft   Seguridad y amp; Centro de seguridad: enlace (Windows)   Malwarebytes Anti-Malware: enlace (Windows, Android)   Spybot + AV: enlace (Windows) OS X   Gatekeeper: enlace (OS X) AT & T Malware y   Los analistas de Network Security se reúnen semanalmente para darle la información.   que necesita saber sobre las últimas noticias y tendencias de seguridad. Visitar   AT & T ThreatTraq en enlace

     

Tipo: xcodeghost   Puerto de origen: 53105   Puerto de destino: 80

Tengo muchas cantidades de ventanas y dispositivos iOS en casa, así que no tengo idea de por dónde empezar.

    
pregunta yuritsuki 15.10.2015 - 08:02
fuente

2 respuestas

1

Si tiene la capacidad de interceptar el tráfico con wireshark, buscaría cualquier dispositivo que se comunique a través de los puertos 53105/80. Esto te ayudará a reducir los dispositivos infectados.

Una vez que tenga los dispositivos infectados, puede ejecutar netstat en esos dispositivos (o 'aplicaciones' similares en iOS) para averiguar qué aplicación tiene esa conexión abierta en particular.

Finalmente eliminar todos los rastros de dicha aplicación.

Editar

Como @broadway señala que los puertos son probablemente los puertos negociados de la sesión y pueden cambiar. Sin embargo, aún con wireshark, parece que tiene otro método para encontrar el dispositivo infectado inicial.

Según sans xcodeghost realizará una solicitud HTTP POST con algún estándar bastante campos. Puede filtrar su captura de wirehark solo a POSTS HTTP y luego buscar campos comunes como el idioma o el país. Esto probablemente le dará una cantidad manejable de datos para buscar manualmente que lo llevará al dispositivo infectado.

Si utiliza este método, también podrá encontrar de manera conveniente en la misma solicitud POST los siguientes datos:

  • Nombre de la aplicación
  • versión de la aplicación
  • versión del sistema operativo
  • idioma
  • país
  • Información del desarrollador
  • tipo de instalación de la aplicación
  • Nombre del dispositivo
  • Tipo de dispositivo
respondido por el KDEx 15.10.2015 - 09:53
fuente
2

Será uno de tus dispositivos iOS. Revisaría la lista de aplicaciones en paloalto research report en xcode ghost y vea si alguno de ellos se alinea con las aplicaciones que ha instalado en uno de sus dispositivos ios y desinstale la aplicación infectada.

    
respondido por el broadway 15.10.2015 - 09:35
fuente

Lea otras preguntas en las etiquetas