Uma vez que é criado um processo no seu servidor, eu considero isso tão bom quanto hackeado. Hora de recarregar ou restaurar. Certifique-se de que todas as atualizações estão configuradas e bloqueie-as.
Peço desculpas antecipadamente pelo longo discurso. Eu postei tudo porque acredito que é informativo e pode ser útil. Além disso, postei minha pergunta no final.
Momentos atrás eu era RDC para um servidor de arquivos em minha casa (de dentro de minha casa). Eu tinha aberto o Firefox e pesquisei no Google para um site de fabricantes. Imediatamente após clicar no link, o Firefox fechou abruptamente. Isso pareceu estranho para mim, então eu verifiquei os processos em execução e descobri d.exe, e.exe e f.exe em execução.
Eu pesquisei esses processos em uma máquina diferente e os encontrei pertencentes a um keylogger / screen-capturer / trojan chamado defender.exe, que de acordo com o Prevx vive em c: \ documents e settings \ user \ local settings \ temp. (Link anterior link )
Simultaneamente, um pop-up do Windows Firewall obviamente falsificado apareceu no servidor solicitando que eu clicasse em "sim" para atualizar o Firewall do Windows.
Neste momento, terminei todos os processos desonestos, esvaziei a pasta temp, removi o defender.exe da inicialização e verifiquei meu registro e alguns outros locais. Antes de excluir o Defender.exe, notei que ele foi criado momentos atrás, pouco antes de o Firefox travar. Acredito que fiquei "quase" infectado com esse malware. Acredito que precisei clicar no pop-up falso para concluir a infecção porque não era permitido executar processos da pasta temporária. Depois de limpar a máquina, reiniciei-a e monitorizei-a durante mais de uma hora. Eu estou debatendo se devo ou não restaurar a partição do Windows (uma unidade física separada dos dados) ou apenas assisti-la por um tempo.
Eu devo mencionar que, por causa das especificações desta máquina, eu não executo software antivírus, mas eu o conheço bem e inspeciono regularmente. É um Compaq muito antigo com um processador de 400mhz e 512mb de ram. Eu tenho um IP estático e o servidor está na DMZ executando um cliente FTP e algum software de servidor HTTP. Todos os arquivos transferidos e armazenados nesta máquina são verificados quanto a malware antes da transferência. Normalmente, a máquina só executa 19 processos e funciona muito bem para o propósito pretendido.
Eu publiquei a história para que você pudesse estar ciente de um possível novo malware e como ele age, mas também tenho uma pergunta ou duas. Primeiro, nos últimos meses, observei que o PREVX está listado no topo da maioria das minhas pesquisas do Google ao pesquisar malware, especialmente para malwares novos ou obscuros ... e eles sempre querem que você compre algo. Não acho que eles sejam uma das principais empresas de antivírus, por isso parece estranho que sejam sempre o melhor resultado do Google. Alguém tem alguma experiência com algum de seus produtos?
Além disso, em quais sites você confia para a pesquisa de malware? Recentemente, achei difícil encontrar boas informações por causa do HijackThis-logs e outras informações de deadend que atrapalham minhas pesquisas.
E, por último, além de antivírus, firewall de terceiros, etc., quais configurações você usaria para bloquear uma máquina para torná-la mais segura em instâncias onde um administrador teimoso como eu se recusa a executar AV?
Obrigado.
Você diz que a caixa está em uma DMZ e só executa um cliente FTP e um servidor HTTP. Você também diz que os arquivos transferidos, presumivelmente transferidos usando o cliente FTP, são verificados. Então, você não é totalmente avesso a AV. Então, eu acho que a resposta final é: não use um navegador da web nesta máquina. Esse é o caminho mais rápido para garantir a segurança e aderir a vários princípios de segurança comuns. prevx.com é um recurso terrível para pesquisa de malware. Eu simplesmente evitá-lo, a menos que você seja curioso, trabalhando em uma máquina virtual e como downloads drive-by.
Execute um antivírus, por favor. Mesmo que seja apenas uma vez por semana ou uma vez por mês sem um scanner de atividades "sempre ligado".
Hmm. Embora eu, pessoalmente, me recusasse a ter qualquer relação com a Prevx devido a preocupações éticas, CEO-ataques-Sophos / artigo / 128828 / "> sobre o seu comportamento , eles são uma empresa de pesquisa de segurança e a / v legítima, tanto quanto isso vai.
Notícia sobre malware: eu assino o blog do websense e também o Kaspersky e o F-Secure também são muito bons, eu acho.
Quanto ao antivírus nessa caixa, você considerou algo como o Clam AV? Este pode ser um scanner "on demand" que não está sendo executado o tempo todo, e você pode apenas configurá-lo para verificar de vez em quando para manter sua máquina limpa. Se você está colocando uma máquina Windows na web como um servidor, você realmente precisa ter algum tipo de escaneamento em andamento. E não o use como um cliente também - esse servidor não pode se enraizar através do navegador se você não usar o navegador nele.
O Prevx é definitivamente o Legit. Eles são provavelmente alguns dos profissionais de segurança mais apaixonados por aí. Não é surpresa que eles sejam frequentemente os primeiros, e frequentemente o único fornecedor de segurança a saber algo sobre novas infecções. É simplesmente o uso da tecnologia baseada em nuvem, alavancando sua base de clientes bastante considerável para ajudá-los a identificar novas infecções primeiro. E isso funciona brilhantemente. Em abril / maio, a PC Magazine elogiou esses caras e fez com que o Prevx 3.0 Editor's Choice para o anti-malware passasse a ser top ou top em quase todas as categorias. A limpeza deles também é muito boa e a velocidade da digitalização é incrível.
Se você ainda não está convencido, vá direto ao link , onde o fórum oficial da Prevx se reúne.
Espero que isso ajude na pergunta que você faz.
já ouviu falar de possível malware rascrypt64.dll PREVX é o único site que sabe anyhting sobre isso .. Estranho eu digo .. Então eu vagueei para wilderssecurity.com que parece ser uma das poucas pessoas que dizem PREVX é legal, e verifique se há rascrypt64.dll lá e adivinha o que ... nada
Eu acho que PREVX e WILDERSECURITY são um pote de ???? \
Eu sou o PrevxHelp da WildersSecurity, um dos técnicos de suporte da Prevx que ajuda lá. Somos definitivamente legítimos e, se alguém tiver alguma dúvida, sinta-se à vontade para escrever na nossa caixa de entrada de suporte ao cliente ou no nosso fórum, hospedado pela WildersSecurity. Nós reverificamos que nenhum de nosso site contém qualquer malware, por isso é provável que ele tenha entrado em outro vetor. Se o OP ainda estiver infectado, entre em contato conosco e faça referência a este tópico e teremos um de nossos engenheiros para ajudá-lo pessoalmente a garantir que seu PC esteja totalmente limpo, embora o problema não tenha sido causado pelo site da Prevx.
Obrigado pelo seu tempo!
(Além disso, com relação ao rascrypt64.dll postado anteriormente, o banco de dados do Prevx sabe desde dezembro de 2009 e é mais comumente um componente de uma infecção por Vundo. O WildersSecurity é um fórum de suporte ao produto e não tentamos postar informações em todas as ameaças (como vemos mais de 250.000 novos arquivos todos os dias) e é por isso que não é mencionado lá.)