Se han metido en mi sistema via control remoto.

OmarHack · 21 Febrero 2013, 19:19 PM

Esta es la conversación que mantuve con el sujeto en un documento de texto:
"Hola?
Qué tal te lo pasas? Ves algo de tu interés?SI No tengo
datos personales que puedan servir de mucho por lo menos en este pc.NOLETENESAFECTOALSYSTEM
se lo tengo a las ip dinámicas."
Y en ese momento desconecté el cable y me conecte con el modem.
Intuí que estaba controlando el ordenador porque me cerro una página del navegador y accedió al menú inicio durante la conversación se fue a inicio y escribió cmd así que decidí desconectar el cable.

Como puedo rastrear al individuo? Lo más raro es que no é encontrado ningún software rsro y durante el tiempo que estuvo el individuo en mi ordenador no encontré ninguna tarea sospechosa ni ninguna cambio la utilización de memoria al desconectar el cable. Revisé la conexión los puertos y mil cosas más y nada raro, ni siquiera mi conexión se volvió mas lenta ni tampoco el ratón pero si el teclado sufrió un retardo. Empiezo a pensar que mi teclado tiene algún tipo de malware o algo, nunca me e encontrado con un ataque similar, y en teoría al desconectar el cable tuvo que quedar algo. Espero que me podáis ayudar.

Pablo Videla · 21 Febrero 2013, 20:34 PM

Cita de: OmarHack en 21 Febrero 2013, 19:19 PM
Esta es la conversación que mantuve con el sujeto en un documento de texto:
"Hola?
Qué tal te lo pasas? Ves algo de tu interés?SI No tengo
datos personales que puedan servir de mucho por lo menos en este pc.NOLETENESAFECTOALSYSTEM
se lo tengo a las ip dinámicas."
Y en ese momento desconecté el cable y me conecte con el modem.
Intuí que estaba controlando el ordenador porque me cerro una página del navegador y accedió al menú inicio durante la conversación se fue a inicio y escribió cmd así que decidí desconectar el cable.

Como puedo rastrear al individuo? Lo más raro es que no é encontrado ningún software rsro y durante el tiempo que estuvo el individuo en mi ordenador no encontré ninguna tarea sospechosa ni ninguna cambio la utilización de memoria al desconectar el cable. Revisé la conexión los puertos y mil cosas más y nada raro, ni siquiera mi conexión se volvió mas lenta ni tampoco el ratón pero si el teclado sufrió un retardo. Empiezo a pensar que mi teclado tiene algún tipo de malware o algo, nunca me e encontrado con un ataque similar, y en teoría al desconectar el cable tuvo que quedar algo. Espero que me podáis ayudar.

netstat -nb y te sale el proceso y la conexion.

OmarHack · 21 Febrero 2013, 23:35 PM

Todos los puertos son utilizados por google chrome y estoy 100% seguro de que el individuo no pudo conseguir el acceso por el navegador.

engel lex · 22 Febrero 2013, 04:11 AM

troyano... el proceso también debe estar con el nombre de otro

HdM · 22 Febrero 2013, 09:33 AM

Hola.

Citarnetstat -nb y te sale el proceso y la conexion.

No necesariamente.

Analiza tu equipo en busca de rootkits y rats.

Saludos.

OmarHack · 22 Febrero 2013, 11:36 AM

Cita de: HdM en 22 Febrero 2013, 09:33 AM
Hola.

No necesariamente.

Analiza tu equipo en busca de rootkits y rats.

Saludos.

Ahora mismo estoy descargando un software, gracias por losl consejos que yo en "auto-seguridad" ando un poco retarded porque no me suelen atacar xDD Tengo el firewall activado, el panda para analizar discos externos en los que no confíe (ya se que no es de lo mejor pero me hace 2 x 1). Me ayuda a protegerme más por la web y el navegador lo tengo aislado con una sandbox para algún pop-up rarito y descargas de las que no me fie demasiado. El único problemilla es que no tengo ningún proxy para ocultar mi ip, aunque normalmente me conecto desde el módem y se me va la conexión cada 10 minutos y al ser la ip dinámica... De todas formas instalaré el tor en un par de días no vaya a ser que por vagancia... ¿Me recomendáis algo para mejorar mi seguridad o alguna observación? Como consiga averiguar quien es va a saber lo que es un copy paste al estilo slammer xDDD

engel lex · 22 Febrero 2013, 17:54 PM

para discos externos desacticva el autorun, a los av se le saltan muchos $:-\$ ...

el firewall de poco sirve ya que los ataques muchas veces se hace con conexión inversa

Código [Seleccionar]

aunque normalmente me conecto desde el módem y se me va la conexión cada 10 minutos y al ser la ip dinámica...

más o menos que conexión es esa? :s normalmente ip dinámica es que no se te asigna una fija, así que si te desconectas por un par de minutos (que el pool DHCP de tu ip desenlace tu ip) y te conectas te asignan una ip nueva... que violentamente te la cambien es una locura, no podrías descargar nada grande mas que por p2p D:

tor, buena opción + maquina virtual con cambios temporales mejor opción (así si se te infecta, solo le dices que no guarde la ultima sesión y queda como si no la hubieras encendido)

buena opción, no meterte con tu isp... casi sin importar cuanta seguridad tengas no es tan difícil que lleguen a ti XD

OmarHack · 22 Febrero 2013, 23:23 PM

Es conexión 3g de banda ancha. La ip si me la cambia que cada vez que se me desconecta reinicio el moden me piden el pin y todo. Es un problema que tengo pero si necesito alguna aplicación pesada me la descargan y me la traen.
Uso virtualbox pero eso no me libra de tener windows abierto :S

Luna71c0 · 22 Febrero 2013, 23:58 PM

Cita de: engelx en 22 Febrero 2013, 17:54 PM
el firewall de poco sirve ya que los ataques muchas veces se hace con conexión inversa

y eso que tiene que ver? o.O

OmarHack no solo Windows, Virtual box también tiene vulnerabilidades

$Edu$ · 23 Febrero 2013, 01:34 AM

Cita de: Luna71c0 en 22 Febrero 2013, 23:58 PM
y eso que tiene que ver? o.O

OmarHack no solo Windows, Virtual box también tiene vulnerabilidades

Si es un troyano de conexion inversa el firewall no importa si esta activado porque el que tiene que tener desactivado el firewall es el atacante, porque se crea la conexion desde la pc victima hacia el pc atacante.

Lo que tienes que hacer es mirar los procesos que tienes y las conexiones que hay en tu pc. Si localizas una conexion, te dira la ip la que podras buscar informacion sobre algunas cosas como de donde es (suponiendo que no esta usando un proxy). Si ya no se conecta mas a ti, entonces no tendras ninguna conexion, pero puedes buscar con un antivirus o manualmente el troyano, para luego analizarlo con herramientas como Olly o muchas mas para encontrar a donde se crea la conexion, que tal vez indicara un dominio por ejemplo "hola.no-ip.org", y lo que te toca es hacer un ping a ese dominio para saber a que ip esta respondiendo.