오늘 아침에 대학에 진학한 후 바이러스는 사용자의 개입없이 PC를 감염 시켰습니다. 집에 돌아 왔을 때 컴퓨터가 완전히 멈 췄고 많은 트로이 목마에 감염되었습니다. 키를 기록 할 수 없도록 돌아 가기 때문에 중요한 것을 입력하지 않았습니다. 그러나 해커가 원격으로 수행 할 수있는 작업을 확인하기 위해 감염 시점에서 컴퓨터가 언제 충돌했는지 정확히 알고 싶습니다.
내 PC로 진단 된 바이러스는 방화벽이 활성화 된 완전히 업데이트 된 Windows 7 설치에서 "fakespypro" 였습니다 . 내 컴퓨터는 내부 기숙사 방 네트워크에 연결되어 있었기 때문에 컴퓨터와 관련이있을 수 있습니다.
이 바이러스 감염을 역 추적하는 방법이나 도난당한 데이터를 발견하는 방법에 대한 추가 정보는 대단히 감사하겠습니다.
답변:
로깅을 설정하지 않은 경우 (기본적으로는 아님) 무엇이 수행되었는지 알 가능성이 거의 없습니다.
그러나 나는이 (그리고 유사한) 악성 코드를 발견했으며 일반적으로 사람들이 쓰레기 / 가짜 소프트웨어를 구입하게하기 위해 사용되며 파일과 정보를 제 3 자에게 보내는 일반적인 의미에서 트로이가 아닙니다.
나는 그것이 가능하지 않다고 말하지는 않지만 불가능합니다.
그러나 실제 시스템에 대한 손상을 감지하려면 좋은 검색 도구를 모두 다운로드하고 ( Ninite에서 사용 가능 ) 날짜순으로 정렬하면 날짜에 복사 및 수정 된 모든 것이 표시됩니다 (많은 유사성이 있음) (내장) 도구이지만 이것이 가장 빠르다고 생각합니다.
또한 명령 프롬프트에서 SFC /SCANNOWWindows 시스템 파일의 무결성과 상태를 확인하기 위해 입력 할 수 있습니다 .
질문에 포함 된 링크는 바이러스의 기능을 구체적으로 설명합니다.
Trojan : Win32 / FakeSpypro는 프로그램 웹 사이트 또는 타사 웹 사이트의 사회 공학을 통해 설치할 수 있습니다. 실행되면 Win32 / FakeSpypro는 "% windir % \ sysguard.exe"에 자신을 복사하고 각 시스템 시작시 스스로 실행되도록 레지스트리 항목을 설정합니다.
부가 가치 : "시스템 도구"
데이터로 : "% windir % \ sysguard.exe"
하위 키 : HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
DLL 구성 요소를 "\ iehelper.dll"로 삭제하고 Windows 시작시 삭제 된 DLL을로드하고 DLL 구성 요소를 BHO로 등록하기 위해 다음 레지스트리 값을 설정합니다.
값을 추가합니다 : "(기본값)"
데이터 :“보”
하위 키 : HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}
값을 추가합니다 : "(기본값)"
데이터 포함 :“\ iehelper.dll”
하위 키로 : HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32
값을 추가합니다 : "(기본값)"
데이터 포함 : "0"
하위 키로 : HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}
또한 다음 레지스트리 하위 키를 만듭니다.
HKCU \ 소프트웨어 \ AvScan
HKCU \ 소프트웨어 \ AVSuite
Win32 / FakeSpypro가 설치 한 DLL "\ iehelper.dll"은 영향을받는 사용자의 인터넷 사용을 조정하는 데 사용됩니다. 예를 들어, 사용자를 browser-security.microsoft.com으로 안내하여 다음 검색 엔진에 대한 검색 결과를 수정할 수 있습니다.
* yahoo.com
* 구글
* msn.com
* live.com
Win32 / FakeSpypro는 \ drivers \ etc \ hosts 아래의 Hosts 파일을 수정하여 'browser-security.microsoft.com'을 방문하는 사용자가 다음 예제와 같이 나열된 IP 주소로 연결되도록 할 수 있습니다.
195.245.119.131 browser-security.microsoft.com
백도어를 여는 것에 대한 언급은 없으며 이전에 들어 본 내용이 아니기 때문에 해커가 '컴퓨터에'있다는 것을 의심합니다. 누군가가 여가 시간에 사용할 수있는 계정을 만들지 않았는지 확인하기 위해 사용자 계정을 살펴 보는 것이 좋습니다. 이 특정 트로이 목마는 대부분 드라이브 바이 다운로드 로 선택됩니다그것은 당신이 그것을 얻었음을 즉시 알지 못한다는 것을 의미합니다. 사이트가 해킹 된 경우 평판이 좋은 사이트를 방문하는 경우에도 발생할 수 있습니다. 무서운 부분은 감염된 시간을 정확히 모르는 경우 브라우저에 입력 한 정보를 가로 챌 수 있다는 것입니다. 좋은 소식은이 바이러스가 조용히 있지는 않지만 구입하는 것을 귀찮게한다는 것입니다. 나는 또한 대부분의 안티 바이러스 프로그램에서도 발견했다고 생각합니다. 최근에 수정 한 파일을 찾기 위해 하드 드라이브를 검색하는 것에 대한 Wil의 제안이 마음에 들지만 실제로 얼마나 많은 도움이 될지 의심됩니다.
스캔을 위해 감염된 시스템에 의존하지 말 것을 제안합니다. 내가 선택한 두 가지 옵션이 있습니다
[1.]이 HDD를 다른 시스템에 연결하고 감염되지 않은 시스템에서 부팅을 검사했습니다.
다른 컴퓨터에 액세스 할 수없는 경우
[2.] Unetbootin과 같은 Linux Distro u를 사용하여 USB 드라이브를 부팅 가능하게 만들고 그 위에 무료로 최신 A / V를 설치 한 다음 해당 USB에서 HDD 부팅을 스캔하십시오.
여기서 최악의 시나리오는 컴퓨터에 저장된 저장 / 캐시 된 비밀번호가 손상되어 주민등록번호가 도난 된 것입니다. 다른 어떤 것도 가져 오지 않았을 것입니다. 특정 정보를 훔치는 것 외에도 맬웨어에 대한 다른 동기 부여에는 광고를 표시하고 컴퓨터 프로세서 및 네트워크 시간을 사용하여 ddos 공격 및 기타 좀비 활동을 영속시키는 것이 포함됩니다. 요즘에는 돈이 많이 들기 때문에 개인으로부터 지불금을 모아서 시스템에서 데이터 파일을 제거하기가 너무 어렵습니다.
본인을 보호하기 위해 전자 메일, 온라인 뱅킹, 페이스 북 / 소셜 네트워크, 월드 오브 워크래프트 / 스팀 / 게임, VPN 등의 깨끗한 컴퓨터로 이동하여 비밀번호를 변경합니다. 신용 보고서에 사기 경고.
그런 다음 USB 플래시 드라이브 또는 쓰기 가능한 DVD를 사용하여 컴퓨터의 파일 및 설정 또는 새 시스템에 쉽게 설치할 수없는 모든 프로그램의 모든 데이터를 백업하십시오. 완료되면 하드 드라이브를 포맷하고 운영 체제 및 응용 프로그램을 다시 설치 한 다음 (Windows 업데이트를 켜야 함) 마지막으로 데이터를 복원하십시오.
여기서 중요한 점은 시스템이 감염되면, 당신은 결코 할 수 있다는 것입니다 있는지 다시 당신이 완전히 깨끗한 있어요. 이전에는 악성 코드가 더 이상 귀찮게하지 않을 정도로 충분히 좋았지 만 요즘 가장 좋은 (읽기 : 최악) 악성 코드가 숨겨져 있고 시스템에있는 데이터 종류 때문에 더 이상 위험을 감수하지 않습니다. 컴퓨터를 청소하십시오. 닦아서 다시 시작해야합니다.