Comment puis-je savoir si cet ordinateur fait partie d'un botnet?
L'un des ordinateurs que je gère (dans la famille, pas des affaires) a un ensemble étrange de fichiers dans son démarrage: bash.exe, curl.exe, uname.exe, sed.exe, rm.exe, tail.exe, cut.exe, awk.exe, cat.exe, chmod.exe, ls.exe, grep.exe etc.
Je sais pour un fait qu'aucun membre de la famille n'a rien installé inhabituel comme cygwin sur cet ordinateur - c'est un ordinateur de consommation uni avec Win7 + Skype + Firefox. C'est pourquoi ces entrées m'inquiètent. Pour autant que je sache, cet ordinateur a l'air compromis.
- J'ai vérifié la liste des programmes installés (dans le panneau de configuration) et il n'y a rien d'inhabituel là-bas. La machine est pratiquement un "ordinateur portable pour grand-mère", donc je suis absolument certain qu'aucun utilisateur n'a rien installé spécial. Si quelque chose, cela vient de "extérieur" d'une manière ou d'une autre.
- J'ai installé McAfee et j'ai fait un scan complet - rien n'a été venu.
- Je n'ai pas encore besoin d'outils comme CCleaner Mais peut-être que cela révélera quelque chose.
Comment puis-je confirmer si cet ordinateur est compromis et comment puis-je le nettoyer?
Si ce n'est pas un botnet, qu'est-ce que c'est alors?
Je sais qu'une réinstallation complète serait la meilleure et je me prépare à le faire. Mais je veux prendre cette situation comme une opportunité d'apprentissage.
CCLeaner ne vous donnera pas vraiment d'informations sur une infection éventuelle, mais ce qu'elle fait est de le rendre rapide et simple à effacer les dossiers et les fichiers temporels lorsque les virus/logiciels malveillants, etc. typiquement cachent.
Sur la base de la nature des fichiers que vous avez trouvés, cela semble être beaucoup plus qu'un virus "typique" .. mais je vais partager des conseils sur des endroits où vérifier/les choses à vérifier.
- Vérifiez vos services pour quelque chose d'inhabituel. (services.msc)
- Vérifiez les journaux de la visionneuse d'événements pour toute activité inhabituelle. (eventvwr.exe)
- Vérifiez l'onglet Startup dans MSCONFIG pour tout programme qui ne devrait pas être là.
- Vérifiez tous les processus exécutant dans le gestionnaire de tâches et réconcilier chacun. Les recherches Google sont utiles ici.
- Vérifiez le planificateur de tâches (TaskSchD.msc) pour toute tâche inhabituelle.
- Exécutez "netstat -abn" (sensible à la casse) ou utilisez un programme comme CORTS pour voir ce que la machine se connecte à.
- Vérifiez vos navigateurs pour tous les addons/extensions suspects. In IE Go to Internet Options> onglet Programme> Gérer les addons> Assurez-vous et modifiez le déposant pour afficher tous les ajoutes, pas seulement les utilisateurs actuellement chargés.
Je doute que si un antivirus s'installera dans cette condition. Essayez d'exécuter une analyse de sécurité à l'aide d'outils en ligne tels que - http://security.symantec.com
Pour la détection de bot, vous pouvez utiliser BONUNTER C'est un outil spécialisé qui peut effectuer des analyses de trafic réseau pour détecter la sorte de comportement réseau. Deuxièmement, de la perspective d'apprentissage, ils fournissent également des échantillons de numérisation d'environ 70 bots bien connus, c'est-à-dire que. Agobot2, Gobot, etc.
Soit surveiller l'activité réseau pour la connexion à des emplacements inattendus (à un niveau matériel, non sur le système lui-même) ou du démarrage d'un LiveSB ou de LiveCD et d'exécuter une analyse de virus est le meilleur pari.
Personnellement, sauf si je pouvais identifier une menace particulière, je voudrais hésitant à Nuke it de l'orbite depuis que ces fichiers pouvaient facilement constituer une partie légitime d'un programme.
Il peut également vous aider à effectuer une recherche Google pour le MD5 de l'un des exécutables utilitaires à voir si vous pouvez identifier la source particulière ..