Jak wykryć program szpiegowski?


(Adrian Sudoku777) #1

Witam!

Jakiś czas temu w monitorze zasobów wyświetlił mi się program o nazwie RAC (prawdopodobnie Remote Agent Control),

(1) chciałbym się dowiedzieć czy to jest program dla administratorów sieci, który także może być użyty do szpiegowania użytkowników.

Mój system operacyjny to Windows Vista, mam także zainstalowanego Kaspersky Internet Security. Antywirusa mam ustawionego na najwyższych poziomach bezpieczeństwa, lecz wydaje mi się że to może nie wystarczać, ponieważ jest wiele legalnych programów (np. http://www.dobreprogramy.pl/Mini-Remote ... 12496.html), które nie są trojanami, a programami dla administratorów sieci, które mogą służyć do szpiegowania, a antywirus ich nie wykryje.

(2) Chciałbym także się dowiedzieć czy jest jakiś prosty sposób wykrycia tego typu oprogramowania, albo czy za pomocą tego programu (temat: program-sledzenia-sieci-t454717.html) można wykryć połączenia dokonywane przez te programy administratorskie.

(3) W jaki sposób chronić swój komputer przed programami dla administratorów, które mogą być użyte jako programy szpiegowskie?

Nie znam się za bardzo na tego typu rzeczach, dlatego byłbym bardzo wdzięczny za pomoc przy rozwiązaniu mojego problemu.


(Łukash) #2

To może być również - takie cuś

Nie wykluczone

Tak.

Metod wykrycia jest sporo ,np kolejna z nich to użycie programiku PRIO ,zakładka TCP/IP.W menedżerze zadań > procesy > widok > kolumny > zaznacz Nazwa ścieżki obrazu ,co również pozwoli namierzyć lokalizację pliku wykonywalnego procesu.Przegląd zainstalowanych aplikacji ,przegląd autostartu ,przegląd logów/reguł zapory.

Założyć hasło na konto admina / korzystać z konta standardowego /włączyć UAC - co powinno uniemożliwić jakąś "cichą" instalacje tego typu softu i znaczono podniesie poziom bezpieczeństwa Twojego systemu.


(Adrian Sudoku777) #3

Zainstalowałem PRIO i zrobiłem screenshoty po podłączeniu do sieci i kolejne 2 po wejściu na stronę google.

(4) Jak powiedziałem wcześniej, nie znam się za bardzo na tym i czy mógłbyś mi powiedzieć na co zwracać uwagę, gdy przeglądam te wszystkie wpisy?

(5) Czemu na pierwszym screenie w kolumnie remote address pisze przy którymś wpisie Tobiasz-Tobiasz:50351 ? Czy to jest istotne?

http://imageshack.us/photo/my-images/19 ... sieci.jpg/

http://imageshack.us/photo/my-images/85 ... ogle1.jpg/

http://imageshack.us/photo/my-images/84 ... ogle2.jpg/

(6) Jakie możliwości i uprawnienia może mieć osoba która używa programu dla administratorów na czyimś komputerze? (Chodzi o to czy taka osoba może, np. instalować inne programy przez sieć, albo przeglądać wszystko co ma się na dysku)


(Łukash) #4

(4) - Zwracasz uwagę na nazwę procesu który nawiązuje połączenia ,oraz na ilość wysyłanych/obieranych danych ,po najechaniu na proces wyskakuje okienko z dodatkowymi informacjami ,np pod svchost.exe uruchomiane są wszystkie usługi ,wystąpienie svchost.exe to jest usługa/usługi ,która ma zazwyczaj inną nazwę ,i śmiało może być przykładowo usługom aplikacji typu "Pulpit zdalny".

(5) O to może być coś --ciekawego (sorki za słowo) Nie wiem czemu masz coś takiego jak Tobiasz-Tobiasz:50351 ,ale zastanawiający jest local adress :192.168.1.101 i port 5357 który jest wykorzystywany przez system do "Odnajdywania sieci" (w panelu Centrum sieci i udostępniania masz łączę do pomocy na ten temat)

Stan : Włączone

W tym stanie inne komputery i urządzenia sieciowe są widoczne dla komputera, a ten komputer jest z kolei widoczny dla innych osób korzystających z komputerów w sieci. Ułatwia to udostępnianie plików i drukarek.

6)

To chyba może zależeć od oprogramowania .Nie znam się na tym za bardzo ,widziałem programy typu TightVNC ,TeamViewer ,które dają możliwość "podglądania" online ,widzisz wszystko co ktoś robi na kompie ,widzisz jego pulpit ,da się przechwycić myszkę ,klawiaturę (takiej aktywności ciężko nie zauważyć :wink: ) ,i operować na plikach, folderach tak jak byś siedział przed fizyczną maszynom ,ale np można być całkowicie nie widocznym.Ciężko mi powiedzieć czy istnieją programy ,umożliwiające bycie całkowicie niewidocznym a aktywnym.

Coś może być na rzeczy ?

1.Wykonaj aktualizację i pełny skan http://www.dobreprogramy.pl/Malwarebyte ... 13117.html ,co znajdzie usuń + dołącz log z usuwania.

2.Oraz zrób logi OTL,ustaw tak http://wstaw.org/m/2010/09/10/OTL.png ,kliknij Skanuj, zawartość wynikowych logów > Extras , Otl i Malwarebytes < skopiuj i wklej na http://www.wklej.org ,tu daj linki .To powinno dać mały podgląd sytuacji.


(Adrian Sudoku777) #5

Malwarebytes LOG:

http://www.wklej.org/id/567824/

(To co znalazł, to dwa programy które służą do przeglądania sieci WAN oraz do odczytania hasła do zapisanej już sieci )

OTL LOG:

http://www.wklej.org/id/567825/

Extras LOG:

http://www.wklej.org/id/567827/

Wrzucam tu jeszcze screenshoty, tego co wyłapałem za pomocą PRIO:

(wypisałem poniżej to co mi się wydaje najbardziej podejrzane, a wszystko jak co, jest na screenach)

  • usługa inteligentnego transferu w tle

  • Easybits Shared Services for Windows (?)

  • Moduł obsługi kluczy IPsec IKE i AuthIP

  • Menadżer połączeń usługi dostęp zdalny

(to samo co wyżej)

  • Zdalne wywoływanie procedur (RPC)
  • Klient śledzenia łączy rozproszonych

  • Menadżer sesji Menadżera okien pulpitu

(to samo co na pierwszym screenshocie)

i jeszcze zaznaczyłem to połączenie Tobiasz-Tobiasz :

(7) Czy formatowanie dysku twardego usuwa wszystkie dane z niego, czy jest też możliwość aby coś zostało po formatowaniu albo 'schowało się" gdzieś poza dyskiem?

RE(5) Nie wiem czemu, ale po wejściu do Centrum sieci i udostępniania miałem zaznaczone Wyszukiwanie sieci: zmodyfikowane (nie wiem czemu... pamiętam że miałem zawsze na włączone i nie bawię się z ustawieniami tego)

Dziś nie mogłem podłączyć się do sieci, a po zdiagnozowaniu problemu wyskoczyło mi powiadomienie, że mam nieprawidłowe hasło sieci wpisane. Gdy go poprawiłem, połączył się w końcu z siecią (nie mam pojęcia czemu tak się stało). Od jakiegoś czasu zdarza się, że całe łącze "pada" i jest aktywne dopiero po chwili.

-- Dodane 27.07.2011 (Śr) 9:38 --

Nie wiem czy to istotne, ale dziś po włączeniu komputera na pulpicie pojawiły mi się 2 pliki desktop.ini (dokładnie o takiej samej nazwie i były przeźroczyste jakby po używaniu funkcji "wytnij".

Oto ich treść:

1]

[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769

IconResource=%SystemRoot%\system32\imageres.dll,-183

2]

[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769

IconResource=%SystemRoot%\system32\imageres.dll,-183

Na pasku startu pojawił się ikonka programu Windows Defender o nazwie "Zablokowane programy startowe", której już dawno nie widziałem.

Kiedy chciałem zapisać w notatniku obydwa pliki desktop.ini znajdujące się na pulpicie, to jednego chciało zapisać w lokalizacji "pulpit publiczny".

przesyłem jeszcze treść trzeciego pliku desktop.ini zlokalizowanego w "publiczny":

3]

[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21816

RE(5) W centrum udostępniania i sieci zawsze miałem włączone tylko dwie funkcje: Odnajdywanie sieci oraz Udostępnianie chronione hasłem.

Reszta była wyłączona: Udostępnianie plików ; Udostępnianie folderu publicznego (pierwsze raz to widzę...) ; Udostępnianie drukarki ; Udostępnianie multimediów.


(Łukash) #6

Jeżeli MBAM sie nie myli ,a mimo wszystko jest to zaufana aplikacja - to plik który usunąłeś to program do podglądu klucza sieciowego/ klucza szyfrowania sieci... Czyli nie za dobrze jeżeli to nie Twoja aplikacja :frowning:

Pierwsze co mi sie rzuciło w oczy ....Tego raczej nie powinno być...

Dziwne zdarzenia typu:

Ogólnie w logach też średnio siedzę...Ale widzę sporo "śmiecia" i jakiś obcych plików. Nie robię skryptów bo ,tak jak piszę,nie jestem w tym pro i mogę się mylić :wink:

Faktycznie usłyga Easybits Shared Services for Windows wykazuje nadaktywność...

W samych plikach nie ma nic nadzwyczajnego...dziwne jest jednio ,te pliki można zobaczyć po przestawieniu wartości w rejestrze lub w opcjach folderów - te pliki są ukrytymi plikami systemowymi...

RE(5) System zazwyczaj nie płata takich figli - jak przestawianie funkcji... Dziwne :frowning:

(7) Po formatowaniu raczej nic się nie uchowa - chyba że coś siedzi w mbr ,a wtedy to nie jest dobrze...A dane raczej są skasowane ,jednak specjalne oprogramowanie jest w stanie odzyskać te dane ,jednak bez fizycznego dostępu do kompa nie za wiele "ktoś" może zdziałać.

Sformatuj dyski i postaw system na nowo :slight_smile: Lub walcz,co właściwie Ci polecam i zarejestruj się i załóż wątek na tym forum :

Nie loguj się do bankowości online itp / po wyleczeniu / formacie - pozmieniaj hasła/loginy i uważaj :wink:

Pozdro


(Adrian Sudoku777) #7

Dzięki za pomoc.

Jeśli przyjdzie coś Ci jeszcze do głowy to napisz.

Apropo tych dwóch programów... dostałem je od kolegi, który bawi się i uczy ze "szkoły hakerów" i tak naprawdę nie mam zaufania do końca tym programom... zawsze mógł coś pod nie podpiąć, a korzystałem raz z tego do odzyskania zapisanego hasła, abym mógł się podłączyć z powrotem do sieci.


(Łukash) #8

To w sumie pikuś :slight_smile: Ale...:

Według mnie "alarm" buczy - jak coś mi wpadnie do głowy to napisze :wink: Ale szczerze polecam Ci forum : http://www.fixitpc.pl/

Tak dla świętego spokoju Twojego :wink: Bezpieczeństwo przede wszystkim ,tak jak na budowie tak i w systemie :wink:


(Adrian Sudoku777) #9

C:\Windows\System32\drivers\klin.dat

C:\Windows\System32\drivers\klick.dat

a co z tym?


(Łukash) #10

Może być rootkit :frowning: http://www.prevx.com/filenames/X3797458 ... K.DAT.html lub pliki Kasperskiego...