Recientemente ejecuté un análisis AV de BitDefender que detectó y limpió el troyano GenericKDZ, una infección muy desagradable que incluye un registrador de pulsaciones de teclas. Soy inflexible en cuanto a la seguridad: siempre cambio las contraseñas predeterminadas, contraseñas seguras, verifico enlaces, desactivo servicios innecesarios, cortafuegos, NoScript, parches, espacios de aire, etc. Incluso tengo instalado Deep Freeze en un intento de mantener la computadora en un estado estable. (con la unidad de datos D descongelada, pero cifrada)!
Contraer esta infección fue impactante (profesional de TI con más de 15 años de experiencia y triple certificación). Sin embargo, NO soy un profesional de la seguridad. Personalmente, creo que esto podría ser un ataque dirigido - y según los registros actuales del firewall, "parece" que todavía estoy bajo ataque - con ataques provenientes de plataformas de alojamiento basadas en la nube operadas por Amazon, MS, etc. provenir del mismo grupo de redes, consistentemente. Están escaneando a través de diferentes puertos e IP.
Inicialmente, parecía haber pequeños daños "menores" en algunos documentos de Word; curiosamente, estaban bloqueados con una contraseña (lo sé). El daño fue el mismo en docenas de documentos; parece que se pudo haber ejecutado un script para desbloquear primero estos documentos y luego dañarlos exactamente de la misma manera. Curiosamente, surgió otro problema muy extraño con algunos de mis libros de Excel: al mover el cursor a una celda diferente, el cursor parpadea un total de 11 veces. Cada vez. Esto sucede en todas las hojas de cálculo de Excel, nuevas y antiguas. No importa si estoy actualizando una celda con una fórmula grande, ingresando el número "2" o simplemente moviendo el cursor a una nueva celda en blanco. No importa cuánta memoria se esté utilizando actualmente durante las operaciones. Parpadea 11 veces, CADA vez. K, es la undécima letra del alfabeto. ¿Qué tienes cuando juntas una serie de "K"? Intenta alinear 3 uno al lado del otro. Muy, muy extraño. También sucedieron otras cosas extrañas, como que Windows Defender se detuvo, actualizaciones fallidas, el escaneo fuera de línea no se completó, rarezas al ejecutar SysInternals, etc.
Pedí hardware de reemplazo y, MUY extraño, hay retención de imagen en la pantalla de la computadora portátil de una bandera ondeando (CLARAMENTE visible al iniciar la computadora portátil). No puedo inventar esto.
La computadora portátil con el virus tenía Computrace habilitado en el BIOS; no sacaré conclusiones precipitadas, pero ESTÁ habilitado permanentemente. La única forma de solucionar ESE problema era reemplazar completamente el hardware.
Ahora estoy construyendo la computadora portátil de reemplazo: hardware nuevo, SIN Computrace (deshabilitado), nueva instalación del sistema operativo, firewall, antivirus, actualizaciones, parches, etc. No estoy convencido de que este problema haya desaparecido y me preocupa que puede ser víctima de un posible envenenamiento de DNS o ataque MIM. En pocas palabras, aquí hay algunas razones:
- Cuando hago NSLOOKUP para los dominios que uso, obtengo una respuesta que SIEMPRE indica "respuesta no autorizada". Esto es extremadamente preocupante. Entre otras razones, no recuerdo que esto haya sucedido antes.
- Cuando hago tracert o hago ping a un dominio como Fidelity.com, veo diferentes direcciones IP. (104.78.120.120) (69.192.61.249). A veces, un sitio como Shutterstock.com me dará 3 direcciones diferentes entre tracert, ping y nslookup. Me doy cuenta de que muchos sitios usan CDNS, pero no estoy seguro de cómo eso afecta el equilibrio de carga, las direcciones IP, etc.
- Cuando miro los certificados del sitio también veo cosas sorprendentes. Veo un certificado de sitio de "dominio validado" para el sitio web de un banco local que uso. Esperaría ver al menos un certificado "validado por la organización".
- Cuando ejecuto un comando de "impresión de ruta", obtengo una respuesta que dice "en enlace" para la mayor parte de la tabla de enrutamiento. Según tengo entendido, esto crea un enlace directo de "acceso telefónico" a la IP en cuestión y evita la puerta de enlace. De ser cierto, esto parece realmente impactante.
- Cuando ejecuto un tracert, veo 5 direcciones IP antes de que los paquetes lleguen al enrutador de mi ISP. A primera vista, parecen direcciones IP de computadora (como 1.2.3.4) en lugar de un nombre de enrutador normal. Cuando rastreo estas IP, "parece" que están en la red del ISP, cuál es la cuestión.
- Recientemente dije que usaba BitDefender VPN para mayor seguridad. Sin embargo, ahora parece que me están obligando a utilizar un servidor VPN con sede en Chicago cuando antes podía desconectarme y luego volver a conectarme automáticamente a un servidor diferente de EE. UU., como Miami o Nueva York. Este es un software nuevo que solo lleva unos días instalado. El único servidor de EE. UU. al que ahora puedo conectarme está fuera de Chicago y es propiedad de una empresa llamada "24 Shells".
- Mi computadora se desconectaba constantemente del WIFI durante todo el día; algunos días era peor que otros. Pero, curiosamente, la desconexión ocurrió el 85% de las veces en un enrutador de Comcast en Chicago. Llamé a soporte y siempre quisieron señalar mi equipo y mi computadora portátil. Pero el hecho es que la ruta fue buena el 85% del tiempo y simplemente cayó en Chicago. Desconectar y volver a conectarme al wifi pareció resolver el problema. Era casi como si me soltaran manualmente desde ese dispositivo en Chicago.
- No estoy haciendo NADA nefasto desde esta caja (ni desde ningún dispositivo en ningún momento). Simplemente tengo activos y datos comerciales que necesito proteger. Dirijo un negocio legítimo desde la oficina de mi casa.
Cualquier ayuda o dirección sería muy apreciada.
Respuesta1
Cuando hago NSLOOKUP para los dominios que uso, obtengo una respuesta que SIEMPRE indica "respuesta no autorizada". Esto es extremadamente preocupante. Entre otras razones, no recuerdo que esto haya sucedido antes.
non-authoritative answeres una respuesta perfectamente normal de NSLOOKUP.
La respuesta no autorizada simplemente significa que la respuesta no se obtiene del servidor DNS autorizado para el nombre de dominio consultado.
Fuente:DNS - NSLOOKUP ¿Cuál es el significado de la respuesta no autorizada?
Cuando hago tracert o hago ping a un dominio como Fidelity.com, veo diferentes direcciones IP. (104.78.120.120) (69.192.61.249). A veces, un sitio como Shutterstock.com me dará 3 direcciones diferentes entre tracert, ping y nslookup. Me doy cuenta de que muchos sitios usan CDNS, pero no estoy seguro de cómo eso afecta el equilibrio de carga, las direcciones IP, etc.
Lo que usted describe es normal y se espera de esos sitios web. Si su navegador no indica que hay un problema con el certificado, para el sitio web en cuestión, está visitando el sitio web legítimo.
Por supuesto, está ejecutando BitDefender, que tiene la capacidad de escanear el tráfico HTTP seguro. BitDefender puede escanear el tráfico HTTP cifrado seguro utilizando su propio certificado.
Cuando ejecuto un tracert, veo 5 direcciones IP antes de que los paquetes lleguen al enrutador de mi ISP. A primera vista, parecen direcciones IP de computadora (como 1.2.3.4) en lugar de un nombre de enrutador normal. Cuando rastreo estas IP, "parece" que están en la red del ISP, cuál es la cuestión.
En realidad, este es un comportamiento perfectamente normal.
Llamé a soporte y siempre quisieron señalar mi equipo y mi computadora portátil. Pero el hecho es que la ruta fue buena el 85% del tiempo y simplemente cayó en Chicago. Una desconexión y reconexión a WiFi pareció resolver el problema. Era casi como si me soltaran manualmente desde ese dispositivo en Chicago.
Dado que confirmó que estaba infectado con malware, parece que su conclusión de que el problema estaba en su computadora portátil era correcta. Parece que deberías realizar una instalación limpia de Windows y reinstalar todas tus aplicaciones.
Recientemente dije que usaba BitDefender VPN para mayor seguridad. Sin embargo, ahora parece que me están obligando a utilizar un servidor VPN con sede en Chicago cuando antes podía desconectarme y luego volver a conectarme automáticamente a un servidor diferente de EE. UU., como Miami o Nueva York. Este es un software nuevo que solo lleva unos días instalado. El único servidor de EE. UU. al que ahora puedo conectarme está fuera de Chicago y es propiedad de una empresa llamada "24 Shells".
BitDefender, en mi opinión, es uno de los peores programas. Simplemente usaría una aplicación VPN diferente. Hay más proveedores de VPN que tienen mejor software, o incluso mejor soporte para OpenVPN, por lo que es innecesario.
Personalmente, creo que esto podría ser un ataque dirigido - y según los registros actuales del firewall, "parece" que todavía estoy bajo ataque - con ataques provenientes de plataformas de alojamiento basadas en la nube operadas por Amazon, MS, etc. provenir del mismo grupo de redes, consistentemente. Están escaneando a través de diferentes puertos e IP.
Según el problema descrito, puedo garantizarle que no se trata de un ataque dirigido, sino simplemente del resultado de una corrupción grave del sistema después de eliminar, muy probablemente, parcialmente una infección de malware. La mayoría de los problemas que describe no son problemas reales.