Недавно я запустил сканирование BitDefender AV, которое обнаружило и очистило троян GenericKDZ — очень отвратительную инфекцию, которая включает в себя регистратор нажатий клавиш. Я непреклонен в вопросах безопасности — всегда меняю пароли по умолчанию, надежные пароли, проверяю ссылки, отключаю ненужные службы, брандмауэры, NoScript, патчи, воздушные зазоры и т. д. Я даже установил Deep Freeze, чтобы компьютер оставался в стабильном состоянии (диск D не заморожен, но зашифрован)!
Получить эту инфекцию было шоком (IT-специалист с 15-летним опытом и 3-кратным сертификатом). Хотя я НЕ являюсь специалистом по безопасности. Лично я думаю, что это вполне может быть целенаправленной атакой - и на основе текущих журналов брандмауэра, "кажется", что я все еще подвергаюсь атакам - с атаками, исходящими от облачных хостинговых платформ, управляемых Amazon, MS и т. д. Эти атаки, по-видимому, исходят из одной и той же группы сетей, последовательно. Они сканируют разные порты и IP-адреса.
Первоначально, казалось, были небольшие, "незначительные" повреждения некоторых документов Word - как ни странно, они были заблокированы паролем (я знаю). Повреждения были одинаковыми для десятков документов - похоже, скрипт мог запуститься, чтобы сначала разблокировать эти документы, а затем повредить их точно таким же образом. Любопытно, что еще одна очень странная проблема возникла с несколькими моими рабочими книгами Excel - при перемещении курсора в другую ячейку курсор мигает в общей сложности 11 раз. Каждый раз. Это происходит во всех электронных таблицах Excel, новых и старых. Неважно, обновляю ли я ячейку большой формулой, ввожу число "2" или просто перемещаю курсор в новую, пустую ячейку. Неважно, сколько памяти в данный момент используется во время операций. Он мигает 11 раз, КАЖДЫЙ раз. K - 11-я буква алфавита. Что получится, если сложить ряд "K" вместе? Попробуйте выстроить 3 рядом. Очень, очень странно. Также наблюдалось несколько других странных вещей, таких как остановка Защитника Windows, сбои обновлений, незавершение автономного сканирования, странности при запуске SysInternals и т. д.
Я заказал сменное оборудование и ОЧЕНЬ странно, что на экране ноутбука есть остаточное изображение развевающегося флага (ЧЕТКОЕ видно при загрузке ноутбука). Я не могу этого придумать.
На ноутбуке с вирусом Computrace был включен в BIOS - я не буду делать поспешных выводов, но он был включен постоянно. Единственный способ избавиться от ЭТОЙ проблемы - полностью заменить оборудование.
Сейчас я делаю сборку из замененного ноутбука - новое оборудование, НЕТ Computrace (отключен), новая установка ОС, брандмауэра, AV, обновлений, патчей и т. д. Я не уверен, что эта проблема исчезла, и беспокоюсь, что я могу стать жертвой возможного отравления DNS или атаки MIM. Вкратце, вот несколько причин:
- Когда я делаю NSLOOKUP для доменов, которые я использую, я получаю ответ, который ВСЕГДА указывает на "неавторитетный ответ". Это крайне тревожно. Помимо прочего, я не помню, чтобы это случалось ранее.
- Когда я делаю tracert или ping для домена, например Fidelity.com, я вижу разные IP-адреса. (104.78.120.120) (69.192.61.249). Иногда такой сайт, как Shutterstock.com, выдает мне 3 разных адреса между tracert, ping и nslookup. Я понимаю, что многие сайты используют CDNS, но я не уверен, как это влияет на балансировку нагрузки, IP-адреса и т. д.
- Когда я смотрю на сертификаты сайта, я тоже вижу удивительные вещи. Я вижу сертификат сайта "domain validated" для сайта местного банка, который я использую. Я ожидал увидеть по крайней мере сертификат "organization validated".
- Когда я запускаю команду "route print", я получаю ответ, в котором указано "on-link" для большей части таблицы маршрутизации. Насколько я понимаю, это создает прямую, "dial up" ссылку на рассматриваемый IP и обходит шлюз. Если это правда, то это действительно шокирует.
- Когда я запускаю tracert, я вижу 5 IP-адресов еще до того, как пакеты достигают маршрутизатора моего провайдера! На первый взгляд, они абсолютно похожи на IP-адреса компьютеров (например, 1.2.3.4) вместо обычного имени маршрутизатора. Когда я отслеживаю эти IP-адреса, то "кажется", что они находятся в сети провайдера, в чем вопрос.
- Недавно я заявил об использовании BitDefender VPN для дополнительной безопасности. Однако теперь, похоже, меня заставляют подключаться к VPN-серверу, расположенному в Чикаго, хотя раньше я мог отключиться и автоматически подключиться к другому серверу в США, например, в Майами или Нью-Йорке. Это совершенно новое программное обеспечение, которое было установлено всего несколько дней назад. Единственный сервер в США, к которому я теперь могу подключиться, находится в Чикаго, его берет компания под названием "24 Shells".
- Мой компьютер постоянно отключался от WIFI в течение дня - в некоторые дни это было хуже, чем в другие. Но, как ни странно, отключение происходило в 85% случаев на маршрутизаторе Comcast в Чикаго. Я звонил в службу поддержки, и они всегда хотели указать на мое оборудование и мой ноутбук. Но факт остается фактом: маршрут был хорошим в 85% случаев и просто отключался в Чикаго. Отключение и повторное подключение к Wi-Fi, казалось, решили проблему. Это было почти так же, как если бы меня вручную отключали от этого устройства в Чикаго.
- Я не делаю НИЧЕГО гнусного с этого ящика (или с любого устройства в любое время, если на то пошло). У меня просто есть бизнес-активы и данные, которые мне нужно защитить. Я веду законный бизнес из своего домашнего офиса.
Любая помощь или руководство будут высоко оценены.
решение1
Когда я делаю NSLOOKUP для доменов, которые я использую, я получаю ответ, который ВСЕГДА указывает на "неавторитетный ответ". Это крайне тревожно. Помимо прочего, я не помню, чтобы это случалось ранее.
non-authoritative answer— совершенно нормальный ответ от NSLOOKUP.
Неавторитетный ответ просто означает, что ответ не получен от авторитетного DNS-сервера для запрашиваемого доменного имени.
Источник:DNS - NSLOOKUP что означает неавторитетный ответ?
Когда я делаю tracert или ping для домена, например Fidelity.com, я вижу разные IP-адреса. (104.78.120.120) (69.192.61.249). Иногда такой сайт, как Shutterstock.com, выдает мне 3 разных адреса между tracert, ping и nslookup. Я понимаю, что многие сайты используют CDNS, но я не уверен, как это влияет на балансировку нагрузки, IP-адреса и т. д.
То, что вы описываете, является нормальным и ожидаемым для этих веб-сайтов. Если ваш браузер не показывает, что есть проблема с сертификатом для рассматриваемого веб-сайта, вы посещаете законный веб-сайт.
Конечно, вы используете BitDefender, который имеет возможность сканировать защищенный HTTP-трафик. BitDefender может сканировать защищенный зашифрованный HTTP-трафик, используя свой собственный сертификат.
Когда я запускаю tracert, я вижу 5 IP-адресов еще до того, как пакеты достигают маршрутизатора моего провайдера! На первый взгляд, они абсолютно похожи на IP-адреса компьютеров (например, 1.2.3.4) вместо обычного имени маршрутизатора. Когда я отслеживаю эти IP-адреса, то "кажется", что они находятся в сети провайдера, в чем вопрос.
На самом деле это совершенно нормальное поведение.
Я звонил в службу поддержки, и они всегда хотели указать на мое оборудование и мой ноутбук. Но факт остается фактом: маршрут был хорошим в 85% случаев и просто обрывался в Чикаго. Отключение и повторное подключение к WiFi, казалось, решило проблему. Это было почти как те, которые меня вручную отключали от этого устройства в Чикаго.
Поскольку вы подтвердили, что были заражены вредоносным ПО, похоже, их вывод о том, что проблема была в вашем ноутбуке, был верным. Похоже, вам следует выполнить чистую установку Windows и переустановить все ваши приложения.
Недавно я заявил об использовании BitDefender VPN для дополнительной безопасности. Однако теперь, похоже, меня заставляют подключаться к VPN-серверу, расположенному в Чикаго, хотя раньше я мог отключиться и автоматически подключиться к другому серверу в США, например, в Майами или Нью-Йорке. Это совершенно новое программное обеспечение, которое было установлено всего несколько дней назад. Единственный сервер в США, к которому я теперь могу подключиться, находится в Чикаго, его берет компания под названием "24 Shells".
BitDefender, по моему мнению, производит одно из худших программ. Я бы просто использовал другое приложение VPN. Есть больше поставщиков VPN, которые предлагают лучшее программное обеспечение или даже лучше поддерживают OpenVPN, так что это не нужно.
Лично я думаю, что это вполне может быть целенаправленной атакой - и на основе текущих журналов брандмауэра, "кажется", что я все еще подвергаюсь атакам - с атаками, исходящими из облачных хостинговых платформ, управляемых Amazon, MS и т. д. Эти атаки, по-видимому, исходят из одной и той же группы сетей, последовательно. Они сканируют через разные порты и IP.
На основе описанной проблемы я могу гарантировать, что это не целенаправленная атака, а просто результат серьезного повреждения системы после, скорее всего, частичного удаления вредоносного заражения. Большинство проблем, которые вы описываете, не являются реальными проблемами.