Troyano, averiguar procedencia?

B

[Borrado] #1 Sep '08

Buenas.
En uno de los ordenadores que tengo en casa ayer se dio rastro de que tenía un troyano (básicamente escribía x msn) imagino que el pardillo que lo hizo lo haría con algún tipo de programa de ip fija. Y también imagino que habra dejado rastros de su pc y demás.

La cosa es que voy a formatear el disco hoy, pero si es posible me gustaría saber si se puede averiguar cualquier dato revelante del gañán que se coló en el ordenador, ya sea mediante comandos, el registro o programas.

Un saludo y gracias

LzO #2 Sep '08

"imagino que el pardillo que lo hizo lo haría con algún tipo de programa de ip fija."

Programa de IP fija? a que te refieres?

Seguramente sea un troyano de conexión inversa, ve a Inicio > Ejecutar > cmd > netstat -an

Si ves alguna IP que al lado pone SYN_SENT seguramente tu PC esté intentando conectarse a esa IP.

Y en caso que ya estés conectado a él, vamos que ahora mismo te esté controlando, tendrá que poner ESTABLISHED pero claro, habrá muchas IP con esa palabra al lado así que solo te tocará investigar por ti mismo, prueba cerrando todos los programas que usen internet y vuelve a poner netstat -an

pd: Es lo que tiene bajarse mierda de internet (cracks, etc...)

B

[Borrado] #3 Sep '08

lo de programa de ip fija me refiero a tipo no-ip (lo usaba cuando utilizaba el bifrost o el ivypoison para que no me cambiase la ip ya que tengo dinamica)

lo de que es por bajarse mierda, diselo a la novia que se bajo 293129391293129319 skins para los sims T_T

PajarracO #4 Sep '08

es ley de vida, a todas las novias les gustan Los Sims, y a todas se la suda instalarse 10.000 tonterías en el ordenador hasta que descubren que tienen 2000 virus xD.

LzO #5 Sep '08

#3 El no-ip se lo que es y ese programa no te hace tener una IP estática... solo te asigna una dns a tu IP, pero la IP sigue siendo dinámica... igualmente si le haces lookup a la dns de no-ip va a salir la IP del susodicho.

AikonCWD #6 Sep '08 Git Gud

Más facil todavia, utiliza la herramienta ANUBIS ANALYZER

Esta web te permite que le envíes un ejecutable, ellos la ejecutan en una Virtual SandBox y te muestran un reporte detallado de TODAS las acciones que hace ese EXE en un PC.

Por ejemplo te dice que valores del registro a cambiado, si se descarga otros worms de internet, si crea ficheros o los borra. Tambien te dice si se intenta conectar a una IP con su puerto y todo. En el caso de que se trate de una botnet, te dice el server IRC que se conecta, el canal y el password xD hay en la web unos ejemplo para que los entiendas, hay un log del virus Bagle, por ejemplo.

Te aconsejo que lo pruebes, es muy facil de usar y da buenos resultados. A cascarla!

LzO #7 Sep '08

#6 Pero el que sabe que exe fué? si la novia pudo ejecutarlo y borrarlo con la misma, etc...

además, un virus/troyano o lo que sea puede saltarse ese método sandbox, hay muchos códigos en webs de programación de como saltarse los analisis sandbox, bienvenido al mundo de la programación...

AikonCWD #8 Sep '08 Git Gud

curioso que menciones esto de los métodos anti-sandbox #7, yo mismo programé 3 funciones para evadir a los más usados:

IsVirtualPCPresent()
IsSandboxiePresent()
IsAnubisPresent()

De todas formas, encontrar el EXE lo tiene facil, si es un gusano con propagación por MSN se tiene que estar ejecutando en memória, y si es uno muy avanzada, estará inyectado en otro proceso (el 3% de los casos), sacar el EXE y mandarlo a Anubis no tardas ni 15 minutos. Por el momento no he visto ningún malware que incorpore métodos anti-anubis, asi que puede estar trankilo.

Saludos...

LzO #9 Sep '08

#8 No jodas... eres ||MadAntrax|| ??? O_o

yo llevo 4 años registrado en esa web y ahora me vengo a enterar ^^ saludos

Usuarios habituales