Come scoprire se sei infetto da un Trojan / RAT


Come scoprire se sei infetto da un trojan / RAT

Che cos’è un RAT / Trojan:

Molti trojan e backdoor hanno la funzionalità di “amministrazione remota”, ciò permette a un  hacker/attaccante di controllare il computer della vittima. Molte volte un file (spesso chiamato client o stub) deve essere eseguito sul computer della vittima prima che l’hacker abbia l’accesso ad esso. Questi sono generalmente inviati tramite e-mail, P2P software di file sharing e  download generici su Internet. Di solito sono travestiti da programmi ‘legit’ (legittimo) o da semplici file.  Molti trojan hanno anche la funzione di disattivare antivirus e firewall .

Per maggiori informazioni visitare: Remote Administrator Tool

Come scoprire se sei infetto da un Trojan / RAT:

I metodi per scoprire se sei infetto da un Trojan sono moltissimi: quello più diffuso è senza dubbio il controllare a “mano”.
In sostanza quello che andremo a fare è scoprire se ci sono degli accessi non autorizzati sul nostro computer.
Per fare questo non avremo bisogno di nessun software:  semplicemente di 5/10 minuti del nostro tempo.
Ecco come fare:

Entrate nel vostro Task Manager (ctrl+alt+canc), anche chiamato “Gestione Attività“.
A questo punto premete Visualizza -> Seleziona Colonne nella barra degli strumenti in alto.

Task Manager

Spuntate la casella sulla voce “PID (Identific. processo)”

PID task manager

Il nostro Task Manager adesso dovrebbe avere una colonna in più chiamata (appunto) “PID“.

Chiudete il Task Manager , andate su ‘Start‘ e sulla barra della ricerca digitate CMD. Eseguitelo come Amministratore.

Troverete un interfaccia come questa:

cmd

Digitate quindi “Netstat -ANO” (senza virgolette) e premete INVIO:

netstat-ano

su vostro schermo appariranno una sfilza di nomi e numeri suddivisi in categorie (scrollate fino in cima)

Protocollo – Indirizzo Locale – Indirizzo Esterno – Stato – PID

Per scovare un trojan/malware o una persona che si connette al pc senza il nostro consenso dovremo controllare la voce ESTABLISHED, sotto la voce STATO.

Probabilmente ci saranno molte voci con lo stato ESTABLISHED: questo è dovuto al fatto che alcuni programmi come il browser (chrome,firefox ecc), messaggistica istantanea (skype,msn ecc) e molti altri richiedono una ‘connessione esterna’ per funzionare. Ovviamente niente di pericoloso!

A noi interesseranno solo le colonne ” Indirizzo Esterno – Stato – PID ”

Indirizzo Esterno: l’indirizzo IP che si sta connettendo al nostro computer.

Stato: se la connessione è stabilita o no.

PID: numero identificativo del processo.

Mantenendo aperto il CMD aprite anche il vostro Task manager e andate sulla scheda “Processi

A questo punto non dovrete far altro che confrontare il numero PID del cmd con le voci “ESTABLISHED” per scoprire quale programma si sta connettendo con quell’indirizzo IP.

Un esempio pratico:

Nel mio CMD ho notato che un indirizzo ip “65.55.164.215:443”  ha la voce “Established” con il numero PID 4208:

skype pid

Prendo nota del numero PID (4208)

Vado sul mio Task Manager e cerco il numero identificativo:

skype_task_manager

Eccolo! semplicemente quell’indirizzo IP identifica Skype! Niente di cui preoccuparsi!

[alert type=”red”]Attenzione:

Alcuni malware molto spesso utilizzano nomi comuni di software (come skype) per i loro processi.

Quindi consiglio di cliccare col destro sul processo di dubbia provenienza e cliccare “apri percorso File”

quindi controllare che sia realmente il file originale

[/alert]

 

In questo modo potrete scovare qualsiasi malware o ospite indesiderato presente sul vostro pc.

Buona fortuna!

Per qualsiasi chiarimento o semplicemente per dei consigli non esitate a commentare

Come scoprire se sei infetto da un Trojan / RAT ultima modifica: 2016-02-16T21:32:16+00:00 da Matteo

What others say about : Come scoprire se sei infetto da un Trojan / RAT..


Leave a Comment


Your email address will not be published.