Come è stato compromesso il mio computer?


3

Come è possibile che la mia installazione aggiornata di Windows 7 con UAC abilitato e Microsoft Security Essentials in esecuzione sia stata compromessa, apparentemente in un sito Web drive-by?

Ho eseguito apparentemente la stessa configurazione di sicurezza per molti anni e non sono mai stato compromesso, cosa è cambiato? La natura degli attacchi è diventata più avanzata? Cosa potrei fare per impedire che un altro attacco abbia successo?

Modificato per aggiungere: i browser utilizzati sono principalmente Chrome e Firefox, IE solo su alcuni siti che lo richiedono e / o sappiamo che sono sicuri.

Modifica: grazie per le risposte. Ho attraversato tutto e nulla è stato danneggiato in modo permanente (nessun virus MBR ecc.) Ma allo stesso tempo non ho trovato nulla che indicasse il vettore. Chalk one up for experience suppongo.


1
Per curiosità, come fai a sapere che sei / sei stato infettato? E se qualcosa fosse stato in grado di scoprire qualunque cosa avesse infettato la tua installazione di Win 7? Il tuo Win 7 era a 32 o 64 bit?
irrazionale John,

32bit. MSE ha iniziato a lanciare avvisi e sebbene questi siano stati rimossi / messi in quarantena automaticamente a seconda del livello di minaccia, ovviamente uno o più sono passati mentre iniziavo a vedere processi canaglia, host reindirizzamenti dei file e appariva un'installazione di (presumibilmente infetto) Avira Antivir. Ora è in modalità provvisoria mentre capisco se è stato installato anche un rootkit o un virus MBR. Ci sono ancora alcune cose che non vanno, vale a dire che i programmi anti-malware comuni sono disabilitati, paralizzati o BSOD aperti, ma penso che proverò a risolverlo prima di cedere e formattare / reinstallare perché mi piace una sfida :)
Lunatik,

Risposte:


6

Ho eseguito apparentemente la stessa configurazione di sicurezza per molti anni e non sono mai stato compromesso, cosa è cambiato? La natura degli attacchi è diventata più avanzata?

Sì! Nuove virii, nuove tattiche, nuovi modi di sfruttare i computer delle persone (ad esempio: Tab nabbing ) non smette mai di stupire le cose che i "cattivi" stanno facendo agli utenti ignari. Il problema non fa che peggiorare.

Cosa potrei fare per impedire che un altro attacco abbia successo?

Segui tutte le regole di base:

  • Non visitare siti Web sospetti
  • Non aprire e-mail sospette
  • Mantieni il sistema aggiornato
  • Esegui antivirus / antimalware e un firewall
  • Usa buone passphrase (non password!)
  • Oserei dire ditch Windows? (Cercando di non essere elitario, suggerendo solo un sistema operativo con un diverso modello di sicurezza. Uso entrambi i sistemi operativi Linux e Windows)
  • Ascolta un webcast sulla sicurezza e scopri i nuovi attacchi e come difenderti (Istruzione)
  • Ce ne sono troppi da elencare ma la più grande protezione è il buon senso ...

Per quanto riguarda la guida tramite download, è possibile ridurre il rischio effettuando la navigazione senza JavaScript abilitato, ad esempio utilizzare qualcosa come NoScript con Firefox. Disattiva anche JavaScript in Adobe Reader, se non sapevi che fosse in Reader, non ti serve.

Linux può essere vulnerabile quanto Windows se usato in modo errato. Educare se stessi pagherà dividendi.

EDIT: basta aggiungere un collegamento a una soluzione alternativa di tipo NoScript per Chrome, se le persone vogliono bloccarlo un po 'di più: esiste un'alternativa NoScript per Google Chrome?


Grazie per la risposta. Linux è un gioco da ragazzi (i PC di casa devono essere utilizzati da moglie, figli, amici, babysitter ecc.), La maggior parte del resto su cui mi occupo (MCSE nella vita precedente, sviluppatore e capo della tecnologia generale al giorno d'oggi), è solo che Avevo l'impressione (ovviamente errata) che indurire un PC Win7 moderno, "protetto" e aggiornato a quel livello avrebbe almeno rilevato e isolato eventuali minacce prima che fossero in grado di danneggiare l'installazione. Qual è il punto di controllo dell'account utente se non impedire questo tipo di cose?
Lunatik,

2
Non ha molto senso avere il comando sudo quota Linux se l'utente digiterà o eseguirà qualsiasi script / programma creato da "cattivi". È la stessa cosa con UAC, puoi mettere tutta la sicurezza del software nel mondo, ma se l'utente eseguirà programmi sospetti, allora è tutto controverso. La sicurezza è forte tanto quanto l'anello più debole e il 9/10 delle volte che questo "anello debole" sarà tra la tastiera e la sedia. Potrei suggerire l'uso di un CD live Linux da usare sul tuo computer di casa per fare cose come l'online banking, quindi puoi avere entrambi i mondi.
Qwerty,

Nessuno script rompe il 75% di tutti i siti Web? Sembra che tutte le pagine web che hanno cose come menu espandibili o anteprime di immagini sarebbero gravemente spezzate
TheLQ

1
Se ne hai la pazienza, puoi usare NoScript. Trascorri un notevole periodo di tempo facendo sapere a NoScript che "Sì, questo è ancora un altro sito su cui voglio eseguire JavaScript su <sigh>". Detto questo, ti offre granularità a livello di URL nella scelta degli script da autorizzare. Ed è semplicemente "fai clic per autorizzare" così veloce come penso possa essere. Ho scoperto che posso conviverci, in parte perché trovo interessante vedere quali e quanti script vengono eseguiti su un sito. ;-) Ma non per tutti ... o anche per la maggior parte suppongo.
irrazionale John,

2
Il computer utilizzato da altri (bambini, babysitter, ecc.) Non è un motivo per usare Windows, ma invece un motivo per usare Linux. Non permetto ad altri di usare una macchina Windows. È troppo facile da infettare o rompere. Se usano una macchina Linux come utente con privilegi limitati, possono navigare e giocare ai giochi flash tutto il giorno senza essere in grado di danneggiarlo.
Grant Johnson,

4

Sono d'accordo al 100% con Qwerty, vorrei aggiungere i miei 0,02 EUR: se stai utilizzando Internet Explorer, prova invece a utilizzare un browser diverso. IE8 potrebbe essere il browser Microsoft più sicuro di sempre, ma una cosa è certa: non viene aggiornato con la stessa frequenza di altri browser popolari come Firefox o Chrome. (Firefox è stato aggiornato 3 volte questo mese, se non sbaglio). Più tempo occorre per correggere una falla di sicurezza, maggiori sono le possibilità che venga sfruttato.

Ciò non significa che sarai perfettamente sicuro usando un browser alternativo. Ma penso che sarai più sicuro .


Uso esclusivamente Chrome, mia moglie usa Firefox (in modo da poter accedere contemporaneamente alla posta ecc.) E usiamo IE solo quando assolutamente necessario
Lunatik,

+1 per browser alternativi a IE. Ritengo che quelle segnalazioni che affermano che IE sia più sicuro sia spazzatura completa. Ci sono così tanti altri angoli per analizzare i dati, ma i notiziari non sembrano interessati a segnalarli. Firefox con NoScript è una buona base di partenza e Chrome viene aggiornato senza problemi dietro le quinte, il che è positivo per gli utenti non esperti. JavaScript è un grande vettore di attacco. Rimanga sicuro!
Qwerty,

4

Qual è il punto di controllo dell'account utente se non impedire questo tipo di cose?

Nonostante il rischio del Dreaded Down Vote, ho deciso di utilizzare il formato "Answer" per pubblicare quelle che sono fondamentalmente solo alcune domande più adatte per un commento.

Come è già stato osservato in un commento di Qwerty , l'UAC non è molto utile se è (1) disabilitato o (2) l'avvertimento viene ignorato e un programma canaglia è autorizzato a fare qualsiasi cosa. La mia comprensione è che se si ha UAC abilitato (... hai controllato che sia dell'impostazione corrente?) Allora si potrebbe non essere stato infettato a meno che qualcuno ha autorizzato il programma canaglia.

Hai detto che "i PC domestici devono essere utilizzati da moglie, figli, amici, babysitter ecc." . Uno di loro avrebbe potuto lasciar passare tutto ciò attraverso l'UAC? (Francamente, l'idea di "bambini" o "babysitter" che usano un sistema diverso da un account a livello di utente limitato senza alcuna autorità amministrativa / di installazione mi fa rabbrividire. BWTHDIK?)

Penso che un altro possibile modo in cui potrebbe accadere è se in qualche modo a un programma fosse data la compatibilità con Windows XP e quel programma poi si girasse e ti mordesse direttamente o perché era in qualche modo sovvertito. La compatibilità con Windows XP sembra dare una qualche forma di elevata autorità a un programma. Potrebbe essere possibile nel tuo caso?

Un'altra parte della ragione per postare questo è perché se ho torto su UAC che deve essere ignorato consapevolmente per poter infettare un sistema Windows 7, mi piacerebbe saperne di più su quella minaccia. Al momento non riesco a vedere come sarebbe possibile però.


1

Senza conoscere i dettagli, è difficile da dire. Puoi provare a utilizzare un programma antivirus / antispyware di terze parti.

Prova AVG o il mio preferito personale, Avira .


1

Antivirus e Firewall possono solo fare così tanto ... dalla mia esperienza: visitare siti "sbagliati" ti farà infettare (proprio come con qualsiasi altra cosa).

Personalmente, non ho avuto un virus da anni semplicemente non facendo clic sui banner "hai appena vinto un MILIONE di $ $$$" e non scaricando dio-sa-cosa dai torrent: D Naturalmente sto semplificando troppo le cose ... parlando di babysitter e mogli ... probabilmente sono loro a dare la colpa ... solo dicendo ...


Fino a qualche giorno fa ero praticamente lo stesso. Ho avuto forse due infestazioni in 15 anni di Windows (95, 98, 2k Pro, XP Pro, Vista HP, W7 Pro) e l'ultimo di questi è stato probabilmente circa 7 anni fa.
Lunatik,

1

Una cosa da ricordare è che il software antivirus è ampiamente reattivo . È in corso un controllo basato sull'euristica, ma soprattutto ogni volta che un nuovo bit di malware appare allo stato brado c'è sempre un arco di tempo (si spera breve) tra il suo aspetto iniziale e quando viene rilevato, analizzato, neutralizzato e nuove definizioni consegnato e aggiornato sul tuo sistema.


Penso che potrebbe essere solo a giudicare dal modo in cui le cose sono quasi guarite da sole quando sono riuscito a ottenere l'AV aggiornato e funzionante di nuovo. Ho hum.
Lunatik,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.