Fant noen trojanere - hva gjør de?

[Urken]

Hei. Jeg har noen spørsmål jeg håper noen kan hjelpe meg med. Når jeg installerte Norton på PCen fant jeg noen trojanske hester på to Sikkerhetskopier jeg hadde. Jeg har en sikkerhetskopi som jeg ikke har søkt gjennom. Går det an for en ekspert å se hvor eller til hvem disse trojanske hestene har sendt data til.

[geir__hk]

Tviler på det. Da må du isåfall opprette en sandkasse el.l. som du kan teste disse trojanerne på. Problemet er at de kan inneholde testmekanismer som sjekker om de kjører i et sandkassemiljø eller ikke, slik at du ikke får ut noe fornuftig informasjon uansett.

Tenker nok at å kontakte Norton direkte er det som gir størst sjanse for et sikkert svar når det kommer til hva disse trojanerne faktisk gjør.

[v3g4rd]

Som nevnt over så er sandkasse løsningen for å finne ut hva disse trojanerne egentlig gjør. Har du ikke vært borte i begrepet før, så kan en sandkasse for eksempel være en virtuell maskin som du bruker for å kartlegge hva trojaneren egentlig gjør, og hvor du har lett mulighet for å "nullstille" maskinen og gjenta eksperimentet ditt.

Verktøy som du kan bruke for å finne ut hva som skjer er:

• SysInternals TCPview (https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview). Her kan du se hvilke IP-adresser prosessen (trojaneren) kommuniserer med.
• WIreshark (https://www.wireshark.org/) og/eller Fiddler (https://www.telerik.com/fiddler). Her kan du se hva som faktisk sendes ut fra maskinen din over nettverket. Hvis trafikken krypteres med SSL, kan du bruke Fiddler for å dekode trafikken og se i klartekst hva som sendes.
• GHidra (https://ghidra-sre.org/). En avansert debugger som du kan bruke for å se hva slags informasjon trojaneren henter fra datamaskinen din, og hvor det hentes fra. Du trenger en del innsikt i assembly og Windows sitt API for å skjønne sammenhengen her, men øvelse gjør mester!

Navnet på trojaneren du fant er også ganske generisk (Trojan.Gen.2). Det er ikke en spesifikk trojaner antivirusen har trigget på, men et program som utfører instruksjoner som minner om hvordan en trojaner virker. Det kan også være en falsk positiv alarm. I slike tilfeller kan du bruke tjenester som Virustotal (https://www.virustotal.com/gui/home/upload). Der kan du laste opp EXE-filer som du mistenker for å være en trojaner, også blir filen scannet av flere titalls ulike antivirusapplikasjoner. Du får da en rapport tilbake, så kan du se hvor mange som rapporter positivt treff på denne og om den har blitt scannet før av noen andre tidligere.

Endret 26. juli 2020 av v3g4rd
skriveleif

[Urken]

Hei og takk for svar. Dette er ting jeg selv ikke takler. Det er litt for avansert for meg.

[Urken]

Jeg ser jo her at det kanskje er mulig å la seg gjøre. Norton sa at det mest sannsynlig ikke lar seg gjøre fordi virusene som lå på maskinen mest sansynlig har hatt et forstyrrelses element som skjuler mottager adressen. Og hvis jeg kobler harddisken som jeg har sikkerhetskopiene på til datamaskinen så vil Norton fjerne virusene. Har ikke turt å koble den til maskinen av frykt for at de skal bli fjernet.