Что лучше подойдет для обнаружения шпионского ПО?

Question

[nickname01]

Есть подозрения, что на компьютере есть шпионское ПО.

Какие программы лучше использовать, чтобы обнаружить его?

Какие методы лучше использовать, чтобы обнаружить его?

П.С. Антивирус установлен.

Comments

[riot26]

промониторить сетевую активность

[nickname01]

riot26: с помощью какого ПО?

[nirvimel]

nickname01: Wireshark.

Answer 1

[Daemon23RUS]

Есть подозрение что Вы все таки нашли программу которую искали toster.ru
Или тот кому Вы ее установили - обнаружил и "дал в ответку"
А если серъезно подойти к вопросу, то во многих случаях не требуется даже ПО. Злоумышленнику достаточно знать и использовать уязвимости.
UPD: Интересно узнать ОС и ее версию, а так же некий набросок инфраструктуры, чтобы что то ответить полезное.

Comments

[nickname01]

windows 8. Для семерки тоже подойдет.
некий набросок инфраструктуры: рассматривается 1 ПК

[Daemon23RUS]

nickname01: В принципе, коллеги Вам уже описали общую картину, осталось отделить зерна от плевел.
Можно до усрачки спорить что лучше Windows/Linux но обе системы уязвимы, и не имеет значения какая больше или меньше, сам факт того что система возможно скомпрометирована должен Вас постоянно держать в тонусе. CityCat4 и АртемЪ абсолютно верно заметили про целенаправленную атаку, нет программы которую можно было бы запустить и вылечиться. Есть инструменты (программы) которыми можно воспользоваться, обладая достаточными навыками и знаниями. В частности можно воспользоваться WireShark (на другом, соседнем компьютере) и проанализировать сетевой трафик. Но если Вы никогда с этим не сталкивались, не знаете TCP/IP то не сможете определить "шпионский" трафик, плюс ко всему трафик будет зашифрован, и маскироваться под легальную деятельность. А анализ сетевой активности - это одно из первого что надо сделать.
Еще можете воспользоваться processmonitor Но это тоже инструмент, к нему надо прикладывать опыт и знания. И я повторюсь, эти действия бессмысленны если на вас производится целенаправленная атака. Вы должны обладать бОльшими знаниями чем атакующие и огромным опытом в широких областях чтобы противостоять целенаправленной атаке.

Answer 2

[Олег Цилюрик]

Какие программы лучше использовать, чтобы обнаружить его?

Используйте Linux ... и отправляйтесь спать спокойно ;-)

Comments

[Александр]

Windows содержит встроенное шпионское по.

[АртемЪ]

Олег Цилюрик Это почему?
Что такого есть в Linux, что позволяет не боятся шпионского ПО???
Разницы какая ОС нет - в любом случае одинакова опасность.

[Олег Цилюрик]

АртемЪ:
> Что такого есть в Linux, что позволяет не боятся шпионского ПО???
Разграничение полномочий.

> Разницы какая ОС нет - в любом случае одинакова опасность.
Не нужно херню нести.
... особенно в предмете который не представляете.

[Олег Цилюрик]

Александр:
Windows не содержит шпионское по!
... Windows сам по себе является шпионским по.

[АртемЪ]

Олег Цилюрик: А каким образом разграничение полномочий влияет на работу шпионского ПО?
Разницы действительно никакой нет.
И никакое разграничение полномочий не поможет.
Шпионское ПО обычно ставит пользователь, и оно работает под полномочиями этого пользователя.
Что еще нужно?
То же самое разграничение полномочий можно устроить и в Windows.

[Олег Цилюрик]

АртемЪ:
> Шпионское ПО обычно ставит пользователь, и оно работает под полномочиями этого пользователя.
Шпионское ПО ставит идиот. Пользователь Linux ставит ПО из штатного выверенного репозитория. Или из исходных программных кодов.

> и оно работает под полномочиями этого пользователя.
Если этот идиот запустит его от своего имени.

> То же самое разграничение полномочий можно устроить и в Windows.
Не можно.
Об этом так много сказано, что не стану повторяться.
P.S. Не пишите, по возможности, утверждений, смысла которых не понимаете. ;-)

[АртемЪ]

Пользователь ставит ПО откуда угодно, как с доверенных источников так и с не очень доверенных.
В репозиториях полно шпионского ПО но там хотя бы проверяют иногда.
Если ставить пакет скачанный непонятно откуда, или собирать из исходников - тут вообще нет никакой гарантии.
Запускают софт чаще всего от своего имени.

Еще раз повторю - совершенно никакой разницы нет, шпионского ПО хватает в любой популярной ОС.

[АртемЪ]

Почему вы считаете что нельзя то же самое сделать в Windows?
Ограниченные права пользователю, и запрет в политиках на установку программ не имеющих подписи с сертификатом, который внесен в список доверенных.

[Олег Цилюрик]

АртемЪ:
> Пользователь ставит ПО откуда угодно, как с доверенных источников так и с не очень доверенных.
Это вам так показалось ... глядя из вынь-даунных окошек. Бывает...

> В репозиториях полно шпионского ПО
У вас есть примеры, факты? ... или: "бла-бла-бла ... я тут просто рядом проходил..."

> шпионского ПО хватает в любой популярной ОС.
Не повторяйте херню так назойливо ;-)

[Олег Цилюрик]

АртемЪ:
> Почему вы считаете что нельзя то же самое сделать в Windows?
Это не я считаю, это общеизвестно.

Но обсуждать политику безопасности в Linux с человеком не знакомым с политикой безопасности непродуктивно, не правда ли?
Как вы можете сравнивать одно с другим, если вы другого не знаете?

[АртемЪ]

Олег Цилюрик: Я знаю обе системы достаточно неплохо.
Мне не показалось я знаю - пользователь увидел программу, в репозитории не нашел, скачал пакет и поставил, или собрал из исходников.
Естественно аудит исходников он проводит не будет, поэтому можно подсунуть что угодно.

По поводу наличия в репозиториях - большинство коммерческого ПО так или иначе собирает информацию о пользователях, иногда довольно прозрачно для пользователя иногда нет.
Возьмите любой браузер - есть куча плагинов, поставьте плагин и он будет у вас иметь доступ к браузеру, и сливать информацию, а в какой ОС установлен сам браузер - неважно.

Защитится от шпионского ПО гарантированно поможет только аудит кода. Но никак не ОС в которой этот код будет исполнятся.

[Олег Цилюрик]

АртемЪ:
> пользователь увидел программу, в репозитории не нашел, скачал пакет и поставил,
Так в Linux станет делать идиот, не пользователь.
В Windows так делают все.

> Естественно аудит исходников он проводит не будет, поэтому можно подсунуть что угодно.
Для этого "подсунуть" вам нужно прежде взломать сайт проекта, или GIT-репозитория.
Вам это под силу?

> большинство коммерческого ПО так или иначе
Грамотные пользователи Linux не используют коммерческого ПО.

> поставьте плагин и он будет у вас иметь доступ к браузеру,
Только к браузеру и каталогам доступным браузеру. И всё! Это очень мало.

[АртемЪ]

Так в Linux станет делать идиот, не пользователь.

С компьютером работает пользователь, он знает свою специальность - например дизайн, архитектуру, или бухгалтерию.
Как работает компьютер ему знать не обязательно и разбираться в этом.
Может конечно вы работаете с идиотами, но это ваши проблемы.
Я работаю с пользователями, они разбираются в своей сфере деятельности, а компьютер для них просто инструмент.

Для этого "подсунуть" вам нужно прежде взломать сайт проекта, или GIT-репозитория.
Вам это под силу?

Мне не под силу, потому что я не занимаюсь этим делом.
Однако -
1)Не обязательно ломать сайт проекта. Кто мешает владельцу проекта и сайта в свой код включить шпионское ПО?
2)Взломы регулярно случаются. Не так давно ломали даже сайт с ядром и обнаружили это через месяц после взлома, чего уж говорить о мелких приложениях.

Грамотные пользователи Linux не используют коммерческого ПО.

Это как?
Грамотный дизайнер не будет пользоваться фотошопом?
Грамотный пользователь желающий поиграть в игру не будет ставить драйвера на видеокарту? И качать игры?
Грамотный инженер будет конечно же рассчитывать конструкцию не в CAD программе, а на листке бумаге, используя компьютер в качестве калькулятора.
Так?

[Олег Цилюрик]

АртемЪ:
> Грамотный дизайнер не будет пользоваться фотошопом?
Фотошоп под Linux - это крто! ... "...автора! автора!..." ;-)

[АртемЪ]

Олег Цилюрик: А всякие вайны, плэйонлинукс, и прочие для чего?
Практически любую программу можно запустить при желании.

[Олег Цилюрик]

АртемЪ:
> А всякие вайны, плэйонлинукс, и прочие для чего?
А это - для убогих ;-)

[АртемЪ]

Олег Цилюрик: Вы откровенную херню несете.
По вашему выходит надо каждому бухгалтеру, сантехнику и дизайнеру изучать линукс и сидеть исключительно под линкусом и пользоваться исключительно ПО из официальных репозиториев.

[Олег Цилюрик]

АртемЪ:
> По вашему выходит надо каждому бухгалтеру, сантехнику и дизайнеру изучать линукс и сидеть исключительно под линкусом и пользоваться исключительно ПО из официальных репозиториев.
Каждому, кто ХОЧЕТ использовать Linux, следует "сидеть исключительно под линкусом и пользоваться исключительно ПО из официальных репозиториев", а про вынь-даунное говно - ЗАБЫТЬ как страшный сон. И искать функциональные аналоги в Linux под свои потребности.
А тем, кто хочет использовать Windows, следует продолжать пользоваться этим говном ... но не лезть со своими представлениями в Linux.

Именно так. Вот тут вы угадали. ;-)

[АртемЪ]

Олег Цилюрик: Ну это ваше узколобое мнение.
А люди просто пользуются той системой которой им удобнее пользоваться в данный момент.
И им пофиг какие там представления, и что там как надо делать.

Answer 3

[Максим]

поставь https://www.360totalsecurity.com/ и проверь

Answer 4

[CityCat4]

Если атака была целенаправленная, то никакие программы ничего не найдут. Если атаку проводили "какеры", то достаточно например Malwarebytes. Если есть время - мигрировать данные, форматировать винт, ставить систему заново.

Answer 5

[ruskella]

Вот смотрю я и понять не могу, вроде собрались умные люди, а говорите... Ну, глупости.

Помните эпидемию KIDO? Хоть 10 тысяк раз переставляйте ОС, если в сети есть "заражённый" компьютер, то после переустановки, опять вирус вернётся

Answer 6

[dude2012]

Я бы делал по следующем алгоритму.
1) Поставил бы AVZ на пару-тройку машин, чтобы локально посмотреть содержимое процессов: какие библиотеки используются, подписаны или нет, что они делают, для чего нужны и нужны ли мне.
2) Посмотреть службы: предназначение и описание. Обратил бы внимание на неподписанные службы и библиотеки, посмотрел бы предназначение служб.
Короче изучить запущенные процессы и службы: на предмет назначения их работы.
3) Поставил бы сетевую программу сбора инфы.
Нашел бы , где еще в сети есть такие процессы и службы.

Антивирусам не очень доверяю.
Короче говоря надо тупо перебрать службы и процессы и все неизвестные прибить.
Производители заботятся о том, чтобы заполнить поля описаний и подписи цифровые прикрепляют.
Если их нет, значит либо ручная поделка, либо корявый софт, либо вирус, либо шпионской ПО.

Answer 7

[milkoolong]

Привет! Для начала попробуйте просканировать и очистить компьютер программой AdwCleaner, это займет минут 10.
Скорее всего, Вам больше ничего не понадобится.
В дальнейшем проверяйте систему время от времени этой программой, пользуйтесь антивирусом, и установите расширение в браузере, например, Ghostery.
Удачи!

Answer 8

[Марк Розенталь]

Советы уровня "рекомендаций антивирусных экспертов".