Ciao , salve a tutti! premetto che sono nuovo nella community,
appena registrato ho dato una spulciata alla sezione "domande frequenti" si parlava di promuovere open source anzichè warez. Cos'è il warez ? ricerca su wiki ... pirati e cracker bla bla bla questo già lo sapevo... poi leggo "botnet, il botmaster e gli zombie..." Stiloso, suona figo "ma di cosa si tratta? Vado ad approfondire (sempre su wiki ) e leggo che un pc zombie non sà di esserlo, ma viene sfruttato il suo traffico in uscita per attacchi DDoS...
# ... il mio pc ha spesso picchi di traffico in uscita, anche quando sono chiuse tutte le app... Non è che sono infetto?
Usando comodo antivirus cè una finestra che illustra il traffico, sempre primo in classifica ce "svchost" ?? che cos' è? un processo del sistema? Ma perche utilizza la connessione con picchi così alti con il pc praticamente inattivo?
Warez -estato ,e lo e ancora un sito su deepweb prelevamente pieno di torrent-film ,documenti ecc ecc .Un tempo (parlo del 2007-2008 lo potevi vedere sul internet chiaro ,ma sono andati nel deep web da quando i FBI li tenevano d'occhio. Una volta molto attivo , si e spento nei anni con arrivo di altri siti.Pirate Bay -ha anche un suo browser ,millyw0rm ecc ecc tutti siti famosi per i torrent e exploit.Il pericolo comunque ,di chi frequenta il deep web e che se non sei attento a cosa scarichi rischi di farti il computer un zombie. L'idea presente in questo forum e di non aprire ,linkare ,proppore e scaricare da fonti poco sicure.Spero che sono chiara.
Come differenziare un computer zombie da uno pulito ?
-prima di tutto i patch di sicurezza dei aggiornamenti windows e antivirus sono importantissimi. Nonostante ci sono dei 0day non e detto che vai incontro a uno.
-secondo - tutto cio che scarichi da internet - fallo scannare con diversi antivirus - aprilo con sandbox -anche se da solo e poco sicuro anche lui ,potrebbe comunque differenziare che il tuo pc diventa zombie.
-un pc zombie -non e detto che presenta un atività intensa in uscita sempre.Puo essere attivato in remoto ,solo quando serve,e comunque ,se sei a conoscenza di qualche truchetto ,potresti bloccarlo.
- a fini legali , anche se rischi che il tuo pc viene portato via , i zombie lasciano sempre una traccia di conessione con il suo server,quindi non vai a imbatterti in procedimenti legali.
Puo capitare che certi servizi , si colegano a internet - il piu famoso e il windows update che ha un task scheduler se e attivo.Un altro ,puo essere rainmeter ,per chi e appassionato di custom del desktop.Altri servizi che li conosco ,sono sempre corelati ai update -come java,flash ecc ecc , mozzila o google maintenance oppure una stampante colegata in una rete locale.
Quindi ,prima di preoccuparsi dei nomi strani ,e sconosciutti ,e sempre meglio fare delle ricerche su internet. Es: cos'e svchost -e potresti trovare questo :
SVCHOST.EXE COME ANALIZZARE PROCESSI, CHE RALLENTANO PC | GiardiniBlog
Adesso ,se voi consolidarti un po le basi delle contramisure hacker direi di partire ,se sei nel windows con la sostituzione del task manager con un altro piu avanzato come process hacker.Ci metteresti pocco a capire funzionamento ,pero potresti individurare ogni processo attivo , potresti analizzarlo online con un antivirus ,potresti cercare nei database informazioni di volume e path di destinazione.
Potresti guardare un attimo il link di sysinternals , ci sono anche de video fatti in inglese su come migliorare i skills - in inglese si dice
usare windows like a pro.Un altro programma fantastico -proviene da questi ed e il autorun.
Secondo punto -analizzo traffico quando non si e sicuri - il meglio sarebbe imparare a usare wireshark ,pero piu semplice metodo e di usare il comando
netstat /ano , che lo devi fare andare dal comand prompt.Non serve aprirlo come administratore.
A browser chiuso , apri il task manager ,oppure process hacker - digiti win + freccia destra per ordinare alla destra il tuo task manager ,apri il cmd ,digiti netstat /ano e poi lo ordini a sinistra e controlli processi -ossia il loro pid. Con il browser chiuso , nessun processo non deve avere la connessione established - visualizzata nel cmd. Ci sarebbe un po da discutere su processi in ascolto -oppure listen ,e i altri come time-wait ,pero importante e che non ci siano conessioni stabilite.
Un altro passo sarebbe di bloccare i ftp , i telnet , le porte 139 e 445 o di monitorare il traffico a queste porte con un firewall .
Come misure sane di quello che scarichi ,sarebbero quelle di cercare un po di informazioni prima - esempio -devo scaricare un programma . Vado a vedere immagini di com'e la console , che feature ha questa ecc ecc ,e se c'e qualcosa di diverso che non quadra ,alora potrebbe essere inserito dentro un script malevole.
Controlla sempre le esecuzioni in automatico all avvio del pc , blocca e cancella le chiavi rune run -once non corellate hai tuoi programmi , impostare il UAC e avere una bella password administratore , proteggerti il to cmd, oppure ,se vogliammo essere proprio pignoli ,crittografare tutto il c
.
La tematica di come proteggerti contro un hacker ,e evitare di prendere virus e molto ampia e non sta solo in qualche riga.Ci potrebbe essere anche la protezione del browser ,usare un user agent switch per dare informazioni sbagliate sul tuo browser e impostazioni preferite ecc ecc .