Come Scoprire se nel Nostro Computer c’è un Trojan o una Backdoor

I trojan sono sicuramente molto diffusi nel web. Molte volte veniamo infettati navigando ignari su internet, altre volte aprendo e-mail non sicure, o in altri casi tramite link fraudolenti. Avere una backdoor nel computer è invece una cosa molto più rara anche perchè di solito non possediamo nessun segreto militare (e un hacker non cracca il nostro pc per rubarci le foto del mare). In tutti questi casi, comunque, ci possiamo accorgere dell’infezione utilizzando semplicemente gli strumenti messi a punto dal nostro sistema operativo windows, senza installare nessun software strano o pesante e senza dover perdere due ore per una scansione.

Il sistema è molto semplice. Utilizzeremo due strumenti: il primo è un comando che si lancia direttamente dal prompt di dos, l’altro è semplicemente la task manager di xp (che in windows vista e windows 7 si chiama Gestione attività).
Iniziamo ad analizzare il primo strumento: il comando netstat. Entriamo nel prompt di dos e proviamo a digitare netstat -? per aprire l’help del comando. Ve lo riporto qui sotto:

Microsoft Windows XP [Versione 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Daniele>netstat -?

Visualizza statistiche su protocollo e connessioni di rete TCP/IP correnti.

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [intervallo]

-a Visualizza tutte le connessioni e le porte di ascolto.

-b Visualizza il file eseguibile interessato dalla creazione di ciascuna connessione o porta di ascolto. In alcuni casi, file eseguibili ospitano più componenti indipendenti. In tali casi, viene visualizzata la sequenza di componenti interessati dalla creazione della connessione o della porta di ascolto. In questo caso, il nome del file eseguibile si trova tra le parentesi [], in fondo, mentre sopra si trova il componente chiamato, e così via finché viene raggiunto TCP/IP. Nota: questa opzione può richiedere molto tempo e non riuscirà a meno che si disponga di autorizzazioni sufficienti.

-e Visualizza le statistiche Ethernet. Questa opzione può essere combinata con l’opzione -s.

-n Visualizza gli indirizzi e i numeri di porta in forma numerica.

-o Visualizza l’ID del processo di origine associato a ciascuna connessione.

-p proto Visualizza connessioni del protocollo specificato da “proto”; “proto” può essere TCP, UDP, TCPv6 o UDPv6. Se questa opzione viene usata con l’opzione -s per visualizzare le statistiche per protocollo, “proto” può essere IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP o UDPv6.

-r Visualizza la tabella di routing.

-s Visualizza le statistiche per protocollo. Per impostazione predefinita, le statistiche vengono visualizzate per IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP e UDPv6; è possibile utilizzare l’opzione -p per specificare un sottoinsieme dei valori predefiniti.

-v Quando viene utilizzato con -b, visualizza la sequenza dei componenti interessati dalla creazione della connessione o della porta di ascolto per tutti i file eseguibili.

intervallo Rivisualizza le statistiche selezionate, interrompendo per un numero di secondi pari a “intervallo” tra ogni visualizzazione.

Premere CTRL+C per fermare la visualizzazione delle statistiche. Se omesso, netstat visualizza le informazione di configurazione correnti una sola volta.

Come potete vedere ci sono moltissimi comandi con cui potrete sbizzarrirvi. Noi ne utilizzeremo tre, cioè netstat -ano con con questo comando visualizziamo contemporaneamente tutte le connessioni e le porte di ascolto, gli indirizzi e i numeri di porta in forma numerica e l’ID del processo di origine associato a ciascuna connessione. Queste sono tutte le informazioni che ci occorrono.

Lasciamo un attimo da parte il comando per fare una breve digressione sulla task manager. In questo menu vengono elencati tutti i processi attivi nel nostro computer; visti così non ci dicono molto in quanto hanno dei nomi particolari. Diciamo che dopo un po’ di pratica riuscirete a riconoscere il software aperto solo guardando il processo (per molti programmi è molto intuitivo).
Il nostro problema è quello di creare una correlazione tra il prompt di dos la task manager. Per risolverlo apriamo il menu e andiamo su Visualizza/Selezione colonne. Verrà aperto un altra finestra in cui ci sono moltissime opzioni; dobbiamo scegliere la seconda nella colonna di sinistra, cioè PID (Identific. processo). Una volta che avremo dato l’ok ci apparirà accanto a tutti i processi il numero identificativo che è lo stesso che visualizziamo con l’opzione -o di netstat.

Ora teniamo aperta la nostra task manager e andiamo nel prompt dei comandi (andando su Start/esegui e scrivendo il comando cmd) e diamo il comando netstat -ano vedrete una lista di processi in tcp e udp che verranno visualizzati con i relativi PID. Confrontando i PID con i processi potete vedere che software o che hacker o che trojan si sta connettendo con il vostro pc. Il comando vi dirà anche se la connessione è “IN ASCOLTO” (listening) o “STABILITA” (established). Nel caso il processo faccia riferimento a qualcosa di malevolo, terminatelo dalla task manager e andate a cancellare il file che l’ha fatto partire.

Grazie a questi strumenti, con un po’ di pazienza e qualche ora di esperienza non avremo più bisogno di software particolari ma riusciremo da soli a scoprire se il nostro pc è infetto. Comodo no?

Questo articolo è stato scritto da Daniele Chiuri alias ilchiuri scrittore del libro Fantasmi della rete

1 Commento

  1. scusate io ho visto una chiave risalente a 10 minuti fa… e questi sono i dati:Modifica del criterio di controllo:

    origini:security
    categoria:modifica criteri
    tipo:operazioni

    Nuovo criterio:
    Riusciti Non riusciti
    + – Accesso/Fine sessione
    – – Accesso all’oggetto
    – – Utilizzo privilegiato
    – – Gestione account
    – – Modifica criterio
    – – Sistema
    – – Registrazione dettagliata
    – – Accesso al servizio directory
    – – Accesso account

    Modificato da:
    Nome utente: User
    Nome dominio: DESKTOP
    ID di accesso: (0x0,0xEFAA)

    nn ho capito coisa vuol dire…vuol dire che ho un trojan? xk dove c’è riuscito a fianco c’è accesso e poi fine sessione vuol dire che se ne è andato?

1 Trackback / Pingback

  1. Technotizie.it

I commenti sono bloccati.