Jump to content
Urken

Fant noen trojanere - hva gjør de?

Recommended Posts

Hei. Jeg har noen spørsmål jeg håper noen kan hjelpe meg med. Når jeg installerte Norton på PCen fant jeg noen trojanske hester på to Sikkerhetskopier jeg hadde. Jeg har en sikkerhetskopi som jeg ikke har søkt gjennom. Går det an for en ekspert å se hvor eller til hvem disse trojanske hestene har sendt data til.

Virus scannet av Disker..PNG

Share this post


Link to post

Tviler på det. Da må du isåfall opprette en sandkasse el.l. som du kan teste disse trojanerne på. Problemet er at de kan inneholde testmekanismer som sjekker om de kjører i et sandkassemiljø eller ikke, slik at du ikke får ut noe fornuftig informasjon uansett.

Tenker nok at å kontakte Norton direkte er det som gir størst sjanse for et sikkert svar når det kommer til hva disse trojanerne faktisk gjør.

Share this post


Link to post

Som nevnt over så er sandkasse løsningen for å finne ut hva disse trojanerne egentlig gjør. Har du ikke vært borte i begrepet før, så kan en sandkasse for eksempel være en virtuell maskin som du bruker for å kartlegge hva trojaneren egentlig gjør, og hvor du har lett mulighet for å "nullstille" maskinen og gjenta eksperimentet ditt.

Verktøy som du kan bruke for å finne ut hva som skjer er:

  • SysInternals TCPview (https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview). Her kan du se hvilke IP-adresser prosessen (trojaneren) kommuniserer med.
  • WIreshark (https://www.wireshark.org/) og/eller Fiddler (https://www.telerik.com/fiddler). Her kan du se hva som faktisk sendes ut fra maskinen din over nettverket. Hvis trafikken krypteres med SSL, kan du bruke Fiddler for å dekode trafikken og se i klartekst hva som sendes.
  • GHidra (https://ghidra-sre.org/). En avansert debugger som du kan bruke for å se hva slags informasjon trojaneren henter fra datamaskinen din, og hvor det hentes fra. Du trenger en del innsikt i assembly og Windows sitt API for å skjønne sammenhengen her, men øvelse gjør mester!

Navnet på trojaneren du fant er også ganske generisk (Trojan.Gen.2). Det er ikke en spesifikk trojaner antivirusen har trigget på, men et program som utfører instruksjoner som minner om hvordan en trojaner virker. Det kan også være en falsk positiv alarm. I slike tilfeller kan du bruke tjenester som Virustotal (https://www.virustotal.com/gui/home/upload). Der kan du laste opp EXE-filer som du mistenker for å være en trojaner, også blir filen scannet av flere titalls ulike antivirusapplikasjoner. Du får da en rapport tilbake, så kan du se hvor mange som rapporter positivt treff på denne og om den har blitt scannet før av noen andre tidligere.

Edited by v3g4rd
skriveleif

Share this post


Link to post
Annonse

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...