我最近收到一封来自 Virgin Media 的电子邮件,表明我可能感染了 Citadel 病毒。这显然听起来像是一封假电子邮件,但我几乎可以肯定它是真实的,因为他们有我的姓名和帐号,以及在virginmedia.com 上提供的电子邮件的通用版本,这里:
http://my.virginmedia.com/customer-news/articles/malware_email.html
我去了 bitdefender 网站进行免费的在线扫描,三十秒后它告诉我我很安全,但我不太放心它可以这么快地检查我的整个驱动器。
我没有任何类型的安全软件,因为我通常对下载的内容和访问的站点非常小心,但过去当我犯错误时,我能够找到安装的文件并卸载它们,但是我的所有搜索都无法告诉我要查找的内容,如果这是一种适当的病毒,而不仅仅是普通的广告软件,它可能比我想象的要复杂。
任何人都可以推荐我应该做什么,显然这种病毒非常擅长隐藏防病毒软件,但如果确定它是否在我的机器上的唯一方法是下载一个聪明的病毒并在安全模式下运行它,我会的。
如果您不喜欢安装防病毒软件,您可以随时使用应急磁盘来扫描您的系统。
卡巴斯基救援盘 http://support.kaspersky.co.uk/viruses/rescuedisk/
Avira 救援系统 http://www.avira.com/en/download/product/avira-rescue-system
Bitdefender 救援光盘 http://download.bitdefender.com/rescue_cd/
AVG 救援光盘 http://www.avg.com/us-en/avg-rescue-cd-download
Dr. Web LiveDisk http://www.freedrweb.com/livedisk/?lng=en
Citadel 是一种隐蔽的木马,不易被发现。您的 ISP 检测到这一点是基于分配给您的 IP 正在与已知托管 Citadel C&C 流量的 IP 地址建立出站网络连接。
您可以通过监控到下面列出的某些 IP 的出站流量来自行验证这一点。
请注意,我在以下网址找到了这份清单:http ://www.surfright.nl/en/citadel ,这份清单可能已经过时了。我在网上对列出的域进行了反向查找。
92.53.97.205、91.243.115.83、206.208.115.125、107.22.60.126
您可以使用 netstat 验证这一点。打开命令提示符并输入:
netstat -an 1 | find "92.53.97.205 91.243.115.83 206.208.115.125 107.22.60.126"
这将持续监控从您的主机到上述 IP 的所有流量。
如果您看到任何点击,例如“SYN Sent”,则表示您的系统感染了此木马。您检测到此流量的机会完全取决于与上面列出的 IP 的匹配。
遵循基本准则并更改从您的主机访问的所有用户帐户密码。
通过另一台具有 2 个 NIC 的计算机(或具有 shell 访问权限并可以运行的路由器tcpdump)连接到 Internet,然后运行数据包捕获(如果您在计算机上,则可以使用更易于使用的图形化 Wireshark)然后寻找指向恶意软件的 C&C 服务器的可疑流量。
这种方法非常有效,因为没有 rootkit 可以将其流量隐藏在另一台未受损机器的眼中。也不是完全无懈可击,但足以抵御大多数恶意软件。