私が大学に行った今朝、ウイルスは私の最後にユーザーの操作なしで私のPCに感染しました。私が家に帰ったとき、私のコンピューターは完全に凍っており、たくさんのトロイの木馬に感染していました。キーがログに記録されないように戻るため、私は重要なものを何も入力していません。しかし、ハッカーがリモートで実行できる可能性があることを確認するために、感染時からコンピューターがいつクラッシュしたかを正確に知りたいのです。
私のPCで診断されたウイルスは、ファイアウォールが有効になっている完全に更新されたWindows 7インストールでの"fakespypro"でした。私のコンピューターは内部の寮の部屋のネットワークに接続されていたので、おそらくそれで何かをしなければならなかったでしょう。
このウイルス感染をどのようにバックトレースできるか、またはどのデータが盗まれた可能性があるかを発見する方法についてのさらなる情報をいただければ幸いです。
回答:
ロギングをオンにしていない場合(デフォルトではオフになっています)は、何が取得されたかを知ることはほとんどありません。
しかし、私はこの(および類似の)マルウェアに遭遇し、それらは一般的に、人々にゴミ/偽のソフトウェアを購入させるためにのみ使用され、ファイルや情報を第三者に送信するという一般的な意味でのトロイの木馬ではありません。
不可能だと言っているわけではありませんが、可能性は低いです。
ただし、実際のシステムに加えられた損傷を検出したい場合は、優れた検索ツールをすべてダウンロードして(Niniteで利用可能)、日付順に並べ替えることができます。これにより、日付にコピーおよび変更されたすべてが表示されます(同様のものが多数あります) (組み込み)ツールですが、これが最速だと思います。
また、コマンドプロンプトから、SFC /SCANNOWWindowsシステムファイルの整合性とステータスを確認するために入力することもできます。
質問に含めたリンクは、ウイルスの機能を具体的に説明しています。
Trojan:Win32 / FakeSpyproは、プログラムのWebサイトから、またはサードパーティのWebサイトからのソーシャルエンジニアリングによってインストールされる可能性があります。Win32 / FakeSpyproが実行されると、自分自身を「%windir%\ sysguard.exe」にコピーし、システムの起動時に自分自身を実行するようにレジストリエントリを設定します。
値を追加:「システムツール」
データ:「%windir%\ sysguard.exe」
サブキー:HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
DLLコンポーネントを「\ iehelper.dll」に投下し、次のレジストリ値を設定して、投下されたDLLをWindowsの起動時にロードし、DLLコンポーネントをBHOとして登録します。
値を追加:「(デフォルト)」
データあり:「bho」
サブキーに:HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}
値を追加:「(デフォルト)」
データあり:「\ iehelper.dll」
サブキーに:HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32
値を追加:「(デフォルト)」
データあり:「0」
サブキーに:HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}
また、次のレジストリサブキーを作成します。
HKCU \ Software \ AvScan
HKCU \ Software \ AVSuite
Win32 / FakeSpyproによってインストールされるDLL「\ iehelper.dll」は、影響を受けるユーザーのインターネット使用を管理するために使用されます。たとえば、ユーザーをbrowser-security.microsoft.comに誘導するように見えることにより、次の検索エンジンの検索結果を変更する可能性があります。
* yahoo.com
*グーグル
* msn.com
* live.com
Win32 / FakeSpyproは\ drivers \ etc \ hostsの下のHostsファイルを変更して、「browser-security.microsoft.com」にアクセスするユーザーが次の例のようにリストされたIPアドレスに確実に送られるようにします。
195.245.119.131 browser-security.microsoft.com
バックドアを開くことについての言及はなく、それは私が以前に聞いたことがないので、ハッカーがあなたのコンピュータの中に「入って」いたのではないかと思います。ユーザーアカウントを見て、誰かが自由に使用できるアカウントを作成していないことを確認することをお勧めします。この特定のトロイの木馬は、ほとんどの場合、ドライブバイダウンロードとして取得されますすぐに気づかなかったことを意味します。サイトがハッキングされている場合、信頼できるサイトにアクセスしたときにも発生する可能性があります。怖いのは、いつ感染したのか正確にわからない場合、ブラウザーに入力された情報が傍受された可能性があることです。良い知らせは、このウイルスが静かに横たわっていないことですが、購入するのは面倒です。ほとんどのウイルス対策プログラムでも検出されたと思います。ハードドライブで最近変更されたファイルを検索することに関するWilの提案は気に入っていますが、実際にどの程度役立つかについては疑問があります。
スキャンは感染したマシンに依存しないことをお勧めします。私が選んだ2つのオプションがあります
[1.]このHDDを別のシステムに接続し、感染していないマシンから起動してスキャンしました
他のマシンにアクセスできない場合
[2.] UnetbootinやLinux Distroなどを使用してUSBドライブを起動可能にし、無料の最新のA / Vをインストールして、そのUSBから起動するHDDをスキャンします
ここでの最悪のシナリオは、マシンに保存されている保存/キャッシュされたパスワードが侵害され、社会保障番号が盗まれたことです。他には何も取られなかったようです。その特定の情報を盗むだけでなく、マルウェアのその他の動機には、広告の表示、コンピュータのプロセッサとネットワーク時間を使用したddos攻撃やその他のゾンビアクティビティの永続化などがあります。最近ではすべてがお金になり、システムからデータファイルを削除する価値があるように個人から支払いを回収することは困難です。
自分を守るために、私はクリーンなマシンに行き、頭に浮かぶすべてのパスワードを変更します:電子メール、オンラインバンキング、facebook /ソーシャルネットワーク、World of Warcraft / Steam / Gaming、vpnなど。あなたの信用報告に関する詐欺警告。
次に、USBフラッシュドライブまたは書き込み可能なDVDを使用して、すべてのデータ(コンピューター上のファイルと設定、または新しいシステムに簡単にインストールできないプログラム)のバックアップを作成します。それが終わったら、ハードドライブをフォーマットし、オペレーティングシステムとアプリケーションを再インストールし(今回はWindowsの更新をオンにすることを忘れないでください)、最後にデータを復元します。
ここでの重要なポイントは、システムが感染すると、完全にクリーンな状態に戻ったことを確信できないことです。かつては、マルウェアがあなたを煩わせないことを確実にするのに十分なほど良好でしたが、最近では、最良の(読み取り:最悪)マルウェアが隠されたままになりたがっています。コンピュータをきれいにしてみてください。ワイプしてやり直す必要があります。