Olá, estou executando um sistema XP SP3 com todas as atualizações mais recentes. Parece que tenho um vírus e estou com dificuldades para rastreá-lo.
Eu tenho algumas conexões de saída; services.exe conecta-se a algum endereço 'porta 443 e permanece conectado enquanto algumas instâncias de svchost.exe geram conexões momentâneas para algumas portas de endereços 25 e 80.
Eu tentei analisar o tráfego; conexões de porta 80 não parecem ser HTTP, conexões de porta 25 nunca fazem isso e eu estou supondo 443 é criptografado.
Costumava ser o caso de eu ter um svchost.exe desonesto em execução (o Process Explorer sinalizava-o em branco e eu localizei o arquivo .sys e o excluí), mas agora todos os meus serviços parecem legítimos. O services.exe está executando Log de Eventos e Plug and Play , mas estou tendo problemas para descobrir qual instância do svchost.exe está fazendo as conexões.
Supondo que meus executáveis do sistema não tenham sido adulterados, não deveria haver muitos serviços que poderiam ser persuadidos a executar tarefas de um vírus, deveria? Então, o que devo suspeitar? Quaisquer lugares óbvios para verificar? Quaisquer vírus populares que fazem esse tipo de conexão?
Não estou executando nenhum software antivírus e não gosto muito de softwares especializados de detecção de rootkit; todos eles correm em listas negras e heurísticas de qualquer maneira. O que tenho aqui é um sintoma definido e estou preparado para procurar a causa. Qualquer ajuda seria apreciada.
Editar : Acabei de me lembrar que o TCPView mostra os PIDs e rastreou as instâncias do svchost.exe - dois ladrões que senti falta de executar nenhum serviço do sistema. Eu tenho a mesma coisa que antes, algo que registra um serviço com um nome aleatório de 8 letras cuja chave de registro não pode ser visualizada ou alterada usando ferramentas convencionais de edição de registro. Eu posso consertar isso de novo, mas se alguém poderia me dizer por que continua voltando ou sobre o envolvimento com services.exe eu ficaria grato.
Outra edição : Now services.exe enlouqueceu; ele está abrindo as conexões da porta TCP 80 para a esquerda e para a direita e, na verdade, está consumindo um pouco da minha largura de banda. O que poderia causar tal comportamento?
Eu encontrei ainda outro serviço desonesto usando um fluxo de dados NTFS chamado svchost.exe: ext.exe (cujo nome era "FCI" btw) e excluí-lo, mas ainda sem sorte com services.exe.
Edição final: resolvi meu problema da maneira que descrevi em minha resposta, com a ajuda das ferramentas sugeridas pelo @Moab. Ainda estou interessado em como essa coisa me infectou em primeiro lugar. Estou deixando a questão aberta por mais alguns dias, caso alguém me sugira mais algumas ferramentas forenses, além do GMER, do Process Explorer, do TCPView etc., ou identifique esse rootkit.
O svchost.exe pode ser usado por qualquer software ou malware programado para usá-lo.
Sugiro usar um scanner de rootkit para ver se algum está presente
depois, acompanhe o MBAM gratuitamente, instale e atualize o programa usando a guia de atualização link
e SAS link
Sim, você pode suspeitar que o services.exe tenha sido corrigido para ser malicioso, o SFC deve detectar isso e substituir o arquivo, a menos que ele esteja sendo protegido por outra parte do malware.
Salve seus dados e recarregue o sistema. As principais infecções por vírus levam mais tempo para serem removidas do que para recarregar o sistema. Além disso, você nunca saberá se você tem tudo isso ...
UnHackMe e seu companheiro, RegRun Reanimator detectou alguns problemas, incluindo o serviço não autorizado com o nome aleatório de 8 letras e um .exe destinado a ser executado na inicialização. Quando eu instruí seu programa NT de inicialização para remover o driver na inicialização, ele renomeou o diretório system32 \ drivers (sim, o próprio diretório) e fez com que o sistema não fosse inicializado, portanto, cuidado.
Eu consertei o problema dos drivers com um CD de inicialização Linux de recuperação de senha que não foi projetado para a tarefa mas rapidamente sucumbiu a alguns hackers menores. (Solte para shell, execute /scripts/disk.sh para montar a partição, então o antigo ls / mv .) Usarei o mesmo método para excluir os arquivos que o UnHackMe encontrou.
Tags windows-xp rootkit virus