コンピュータのどのような種類の侵害が発生したかを特定するためにどのような手順を実行できますか
今日は奇妙なシナリオに巻き込まれました:-)。一部の「UDPAgent.exe」ファイル/ワーム/ウイルスが同僚のシステムにアクセスしようとしていて、アンチウイルスプログラムは、特定のトロイの木馬/ワーム/ウイルスについては知らなかったものの、この特定のものが私のIPから来ていることを示していました。
問題を特定するためのアイデア/推測/ヘルプをいただければ幸いです。
Roryの返信後、私の質問は次のようになります。1-フォーラムの誰かが以前にそのようなプログラム/スクリプトを見たことがありますか? 2-コンピュータが危険にさらされていると思われる場合、コンピュータでどのような調査を実行できますか?
ありがとうロリー!
Udpagent.exeについての言及から、中国語ベースのエクスプロイトキットペイロードに見舞われたようですが、udpagent.exeは非常に一般的なツールであり、LAN上のより多くのマシンを危険にさらすために、実際のペイロードが実行された後に追加でダウンロードされます。私はそれを中国からのマルウェアペイロードで最も一般的に見る傾向があります。 Hijackthisは感染の場所を特定し、できればHijackthisフォーラムのForum Modのガイダンスに従って削除するための優れたツールであるため、上記のOrmisの提案の大部分に同意します。ただし、最近のマルウェアに対処する際の独自のルールに従って、ネットワーク接続からマシンを削除し、クリーンなマシンからすべてのユーザー名とパスワードを変更し、ボックスwww.dban.orgでDBANを実行することをお勧めします。私は毎日このような何百ものケースに対処しており、AV、Combofix、Hijackthis、特殊なルートキットリムーバーなどを介して削除されるまでに、AVをバイパスし、すべての価値のあるデータを抽出する、非常に永続的な実行可能ファイルを目にすることがよくあります。要約すると、ドライブを削除します。
了解しました。インシデント対応手順全体の概要を説明するつもりはありませんが、開始する場所を提供します。
ダウンロードして実行 this ツール。これは基本的に、マシン上で実行されているプロセスの詳細なスナップショットです。マシンで何かが実行されている場合、10回のうち9.5回の確率でhijackthisレポートに表示されます。また、この種のことに慣れていない場合、結果のレポートを処理するのはかなり難しいと言いますが、他のフォーラムでこれについて話している場合は、そのレポートを見たいと思うでしょう。
また、脅威を軽減するために実行できるいくつかの一般的な手順の概要を示す、 この質問 に対する提案された回答を確認することをお勧めします。そこにある回答のように、感染していないことを確認する唯一の確実な方法は、最初から始めることです。ディスクを拭いて最初からやり直してください。
最後のコメントですが、xまたはyのルートキット/マルウェアがあることがわかった場合は、それを最適に削除するツールを調べることができます。カスペルスキーのルートキット削除ツールが私のリアエンドを救ったことが何度もあったことを私は知っています。ただし、1つのエンティティを削除しても、問題が解決したとは限らないことに再度注意する必要があります。マルウェアを削除できる場合、それが最初の攻撃なのか、より大きな問題の結果なのか、それともマシン上のマルウェアの唯一のケースなのかを知る方法はありません。