web-dev-qa-db-ja.com

このコンピューターがボットネットの一部であるかどうかを確認するにはどうすればよいですか?

私が管理しているコンピューターの1つ(家族ではなく、ビジネス)では、ブートに奇妙なファイルのセットがあります:bash.exe, curl.exe, uname.exe, sed.exe, rm.exe, tail.exe, cut.exe, awk.exe, cat.exe, chmod.exe, ls.exe, grep.exe 等々。

このコンピューターにcygwinのような異常なものをインストールした家族はいないという事実は知っています。これは、Win7 + Skype + Firefoxを備えたプレーンなコンシューマーPCです。これらのエントリが私を心配する理由です。 私の知る限り、このコンピュータは危険にさらされているように見えます。

  • インストールされているプログラムのリスト(コントロールパネル)を確認しましたが、異常はありません。このマシンは実質的に「おばあちゃんのためのラップトップ」なので、ユーザーが特別なものをインストールしていないことは間違いありません。どちらかといえば、これはどういうわけか「外」から来ています。
  • McAfeeをインストールしてフルスキャンを実行しましたが、何も起こりませんでした。
  • CCleanerのようなツールをまだ試していませんが、おそらく何かが明らかになるでしょう。

このコンピュータが危険にさらされているかどうかを確認するにはどうすればよいですか、またどのようにそれをクリーニングできますか?

ボットネットではない場合、それは何ですか?

完全な再インストールが最善であることを知っているので、その準備をしています。しかし、私はこの状況を学習の機会として捉えたいと思います。

antivirusantimalwarebotnet
7
Torben Gundtofte-Bruun

有能なウイルスやマルウェアは、マシンにインストールされ、マルウェアの存在を検出する可能性のあるほとんどのウイルス対策ソフトウェアを非アクティブ化するように注意します。より良いテストを行うには、ハードディスクをanother(クリーン)システムに接続します。これにより、アンチウイルスが実行されます。

これは少し危険なので、仮想マシンレイヤーを追加することをお勧めします。CD-RまたはDVD(ディスクにインストールされない「ライブシステム」)からLinuxシステムを起動し、バイト単位で実行します。感染した可能性のあるディスク全体のコピーを大きなファイルとして。別のシステムで仮想マシンを構築し、感染したディスクを「ディスクイメージ」としてマウントします(VMのプライマリブートディスクではなく、追加のディスク)。次に、VMで分析ツールを実行します。感染を防ぐために、VMの外部ネットワーク機能を停止することをお勧めします(VMマネージャーが VirtualBox の場合、 internalネットワーキング )。

完全なフォーマットと再インストールに関しては、まあ、そうです、これは避けられない要件です。

3
Thomas Pornin

ボットネットの感染の存在を特定するには、リクエストを送信する実行中のプログラム(ブラウザ、ゲーム、スカイプなど)をすべて閉じます。異常なトラフィックがないかどうかを確認するには、 wireshark を使用します。

パソコンの健康診断なら、 Hijackthis または [〜#〜] dds [〜#〜] を試してみてください。どちらか1つのログを取得し、不審なプログラムを分析します(プログラムのファイル名とそのパスをGoogleで検索できます[〜#〜] [〜#〜]にあります)。

ファイルのチェックを実行するために使用できるWebサイトは systemlookup.com です。検索バーでファイル名を確認し、検索するファイルのファイル名を入力するだけです。

Systemlookupの検索バーでCLSIDを選択し、CLSIDをコピーして検索バーに貼り付けて検索することにより、ファイルのCLSID(Hijackthisのログで確認できます)を確認してファイルの有効性を確認することもできます。

注:上記の2つのプログラムはウイルス駆除ツールではなく、代わりに検査ツールです。

潜在的なマルウェアを自分で削除するインセンティブを取ることができますが、あなた自身のリスクでそれを行い、if である場合にのみ、それがマルウェアであることを非常に確信しています(ファイルの多くの検査により)。

ただし、マルウェアを削除するための知識がない場合や支援が必要な場合は、 bleepingcomputer で支援を求めることができます。breepingcomputerで支援が必要な場合は、 this を参照してください。投稿する前に

4
wcypierre

CCleanerは感染の可能性に関する情報を提供しませんが、ウイルス/マルウェアなどが通常潜んでいる一時フォルダーやファイルをすばやく簡単に消去できるようにします。

あなたが見つけたファイルの性質に基づいて、これは「典型的な」ウイルスよりもはるかに多いようです。しかし、確認する場所/確認する場所に関するいくつかのヒントを共有します。

  • 異常がないかサービスを確認してください。 (services.msc)
  • イベントビューアのログで異常なアクティビティがないか確認してください。 (eventvwr.exe)
  • Msconfigのスタートアップタブで、そこにあるべきでないプログラムがないか確認します。
  • タスクマネージャーで実行されているすべてのプロセスを確認し、各プロセスを調整します。ここではGoogle検索が役立ちます。
  • タスクスケジューラ(Taskschd.msc)で異常なタスクがないか確認します。
  • "netstat -ABN"(大文字と小文字を区別)を実行するか、Cportsなどのプログラムを使用して、マシンの接続先を確認します。
  • 疑わしいアドオン/拡張がないかブラウザを確認してください。 IE [インターネットオプション]> [プログラム]タブ> [アドオンの管理]に移動し、現在読み込まれているアドオンだけでなく、すべてのアドオンを表示するようにファイラーを変更します。
2
k1DBLITZ

この状態でアンチウイルスがインストールされるかどうかは疑問です。 http://security.symantec.com などのオンラインツールを使用してセキュリティスキャンを実行してみてください

0
Novice User

ボットの検出には bothunter を使用できます。これは、ネットワークトラフィック分析を実行してボットの種類のネットワーク動作を検出できる特殊なツールです。 2つ目は、学習の観点から、スキャン サンプル 約70のよく知られたボット(Agobot2、Gobotなど)も提供します。

0
Ali Ahmad

予期しない場所への接続について(システム自体ではなくハードウェアレベルで)ネットワークアクティビティを監視するか、liveUSBまたはliveCDから起動してウイルススキャンを実行するのが最善の策です。

個人的には、特定の脅威を特定できなければ、これらのファイルはすべてプログラムの正当な部分になりやすいため、軌道から核を消すことに抵抗があります。

また、特定のソースを識別できるかどうかを確認するために、ユーティリティ実行可能ファイルの1つのMD5をGoogle検索するのに役立つ場合があります。

0
AJ Henderson