¿Cómo puedo saber si esta computadora es parte de una red de bots?

7

Una de las computadoras que administro (en la familia, no en los negocios) tiene un conjunto extraño de archivos en su inicio: bash.exe, curl.exe, uname.exe, sed.exe, rm.exe, tail.exe, cut.exe, awk.exe, cat.exe, chmod.exe, ls.exe, grep.exe y así sucesivamente.

Sé por un hecho que ningún miembro de la familia ha instalado algo inusual como cygwin en esta computadora; es una PC de consumo simple con Win7 + Skype + Firefox. Es por eso que estas entradas me preocupan. Por lo que puedo decir, esta computadora parece comprometida.

  • He comprobado la lista de programas instalados (en el Panel de control) y no hay nada inusual allí. La máquina es prácticamente una "computadora portátil para la abuela", por lo que estoy absolutamente seguro de que ningún usuario instaló nada especial. En todo caso, esto viene de "afuera" de alguna manera.
  • Instalé McAfee e hice un análisis completo, no surgió nada.
  • Todavía tengo que probar herramientas como CCleaner pero tal vez eso revele algo.

¿Cómo puedo confirmar si esta computadora está en peligro y cómo puedo limpiarla?

Si no es una red de bots, ¿qué es entonces?

Sé que una reinstalación completa sería lo mejor, y me estoy preparando para hacerlo. Pero quiero tomar esta situación como una oportunidad de aprendizaje.

    
pregunta Torben Gundtofte-Bruun 15.01.2013 - 19:10
fuente

6 respuestas

3

Cualquier virus o malware competente se encargará de desactivar la mayoría del software antivirus que podría instalarse en la máquina y detectar la presencia del malware. Para realizar una mejor prueba, conecte el disco duro en el sistema otro (limpio), que ejecutará el antivirus.

Esto es un poco arriesgado, por lo que es posible que desee agregar una capa de máquina virtual: arranque un sistema Linux desde un CD-R o DVD (un "sistema en vivo" que no se instala en el disco), luego tome un byte Copia de un byte de todo el disco potencialmente infectado, como un archivo grande. En otro sistema, cree una máquina virtual y monte el disco infectado como una "imagen de disco" (no es el disco de arranque principal de la máquina virtual, sino un disco adicional). Luego, ejecute las herramientas de análisis en la máquina virtual. Es mejor apagar las capacidades de red externa de la VM, para contener cualquier infección (si su administrador de VM es VirtualBox , use red interna ).

En cuanto a un formato completo & reinstala, bueno, tienes razón, este es un requisito inevitable.

    
respondido por el Thomas Pornin 15.01.2013 - 19:19
fuente
4

Para identificar cualquier presencia de infección de botnet, cierre cualquier programa en ejecución que envíe solicitudes (navegador, juego, Skype, etc.) y puede usar wireshark para verificar si hay tráfico anormal.

Para un chequeo de computadora personal, puede probar Hijackthis o DDS . Obtenga un registro de cualquiera de ellos y analice en busca de programas sospechosos (puede buscar el nombre de archivo del programa en Google y la ruta en la que DEBERÍA estar).

Un sitio web que puede utilizar para realizar un chequeo en el archivo sería systemlookup.com . Simplemente verifique el nombre del archivo en la barra de búsqueda y escriba el nombre del archivo que desea buscar.

También puede verificar el CLSID (que se puede encontrar en los registros de Hijackthis) del archivo para verificar la validez del archivo seleccionando CLSID en la barra de búsqueda de systemlookup y copie pegando el CLSID en la barra de búsqueda y búsquelo.

NOTA: Los dos programas anteriores no son una herramienta de eliminación de virus sino una herramienta de verificación en su lugar.

Usted puede tomar el incentivo para eliminar el malware potencial , pero hágalo bajo su propio riesgo y hágalo si y solo si está muy seguro de que lo es. un malware (a través de muchas inspecciones en el archivo).

Sin embargo, si no tiene el conocimiento o necesita ayuda para eliminar el malware, puede buscar ayuda en bleepingcomputer Si necesita ayuda en bleepingcomputer, lea esto antes de publicar

    
respondido por el wcypierre 17.01.2013 - 14:06
fuente
2

CCleaner realmente no le brindará ninguna información sobre una posible infección, pero lo que hace es hacer que sea rápido y sencillo eliminar carpetas y archivos temporales donde normalmente se ocultan los virus / malware, etc.

Según la naturaleza de los archivos que ha encontrado, esto parece ser mucho más que un virus "típico" ... pero compartiré algunos consejos sobre lugares para buscar / cosas para verificar.

  • Compruebe sus servicios para cualquier cosa inusual. (services.msc)
  • Verifique los registros del visor de eventos para detectar cualquier actividad inusual. (eventvwr.exe)
  • Revisa la pestaña de inicio en msconfig para ver si hay algún programa que no debería estar allí.
  • Verifique todos los procesos que se ejecutan en el administrador de tareas y reconcilie cada uno. Las búsquedas de Google son útiles aquí.
  • Revise el programador de tareas (Taskschd.msc) para cualquier tarea inusual.
  • Ejecute "netstat -ABN" (distingue entre mayúsculas y minúsculas) o use un programa como Cports para ver a qué se está conectando la máquina.
  • Revise sus navegadores para detectar cualquier complemento / extensión sospechosa. En IE, vaya a las opciones de Internet > pestaña del programa > administrar complementos > asegúrese de cambiar el archivador para mostrar todos los complementos, no solo los que están cargados actualmente.
respondido por el k1DBLITZ 28.01.2013 - 17:33
fuente
0

Dudo si algún antivirus se instalará en esta condición. Intente ejecutar un análisis de seguridad utilizando herramientas en línea como enlace

    
respondido por el Novice User 15.01.2013 - 20:24
fuente
0

Para la detección de bots, puede utilizar bothunter , es una herramienta especializada que puede realizar análisis de tráfico de red para detectar el tipo de comportamiento de la red del bot. En segundo lugar, desde la perspectiva del aprendizaje, también ofrecen muestras de aproximadamente 70 bots bien conocidos, es decir, Agobot2, Gobot, etc.     

respondido por el Ali Ahmad 15.01.2013 - 20:26
fuente
0

La mejor opción es controlar la actividad de la red para la conexión a ubicaciones inesperadas (a nivel de hardware, no en el propio sistema) o iniciar desde un liveUSB o liveCD y ejecutar un análisis de virus.

Personalmente, a menos que pudiera identificar una amenaza en particular, dudaría en salir de la órbita, ya que todos esos archivos podrían ser fácilmente una parte legítima de un programa.

También puede ayudar a realizar una búsqueda en Google del MD5 de uno de los ejecutables de la utilidad para ver si puede identificar la fuente en particular ..

    
respondido por el AJ Henderson 15.01.2013 - 23:00
fuente

Lea otras preguntas en las etiquetas