Tengo algunos archivos de virus creados aleatoriamente en la raíz de ac: disco de uno de mis servidores. ¿Cómo puedo averiguar qué lo creó? ¿Algún software de terceros quizás?
12
Eche un vistazo a la pestaña "Propietario" en las propiedades "Avanzadas" de la página de propiedades "Seguridad" de la hoja de propiedades del archivo. Sin embargo, es muy probable que veas a los "Administradores" como propietarios (lo que no será de mucha ayuda).
La funcionalidad de auditoría en Windows puede ayudar con este tipo de cosas, pero genera volúmenes tan grandes de datos aparentemente inútiles que, prácticamente hablando, no valen la pena.
Supongamos por un segundo que lo que sea que esté creando estos archivos no es malicioso:
Sin embargo, si lo que sea que esté creando estos archivos es malicioso, tomará medidas para frustrarlo. (Ocultar archivos, ocultar procesos, ofuscación, etc.)
Puede utilizar algunas de las utilidades aquí para buscar rootkits: una lista de herramientas de detección y eliminación de rootkits de Windows
Pero si el servidor ha sido de su propiedad, usted sabe que es de su propiedad y no sabe cómo entraron: es hora de comenzar a reconstruirlo y activar cualquier plan de respuesta a incidentes que pueda tener.
fuente
También puede utilizar FileMon para Windows, para registrar el tiempo y el proceso en que se confirmó la escritura del archivo. Una vez que haga eso, rastree el proceso usando nestat -ao y busque el PID del proceso que escribió el archivo. Desde aquí, busque la dirección IP que está haciendo la conexión a su servidor y continúe la investigación o NEGUE la conexión si está usando el Firewall incorporado de Windows.
Enlace a FileMon para Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
fuente
PA File Sight podría ayudarlo allí. Puede configurar un monitor para ver las creaciones de archivos en C: \ La aplicación puede registrar el tiempo de creación, el proceso utilizado (suponiendo que sea un proceso local) y la cuenta utilizada. Puede registrar esos datos en un archivo de registro, base de datos y / o alertarlo en tiempo real.
Es un producto comercial, pero tiene una prueba de 30 días totalmente funcional que funcionaría para usted.
Divulgación completa: trabajo para la empresa que creó PA File Sight.
fuente
un poco más de detalles ayudaría; ¿Versión de Windows, nombre de archivo (s), texto o binario? ¿Pueden ser renombrados / eliminados o están bloqueados en uso? Muchas veces esto apuntará a qué programa ligit agregó el archivo. Puede ejecutar strings.exe y buscar pistas si es un archivo binario.
Si se trata de una unidad NTFS, puede consultar la pestaña de seguridad y en avanzado / propietario, para ver quién creó. El explorador de procesos de sysinternals.com también dará pistas.
fuente