我最近运行了 BitDefender AV 扫描,发现并清除了 GenericKDZ 木马病毒 - 这是一种非常严重的感染,其中包括按键记录器。我对安全非常重视 - 始终更改默认密码、强密码、验证链接、关闭不必要的服务、防火墙、NoScript、修补、空气间隙等。我甚至安装了 Deep Freeze,试图让计算机保持稳定状态(D 数据驱动器解冻,但加密)!
感染这种病毒令人震惊(拥有 15 年以上经验和 3x 认证的 IT 专业人员)。不过,我不是安全专业人员。就我个人而言,我认为这很可能是一次有针对性的攻击 - 根据当前的防火墙日志,“似乎”我仍然受到攻击 - 攻击来自亚马逊、微软等运营的基于云的托管平台。这些攻击似乎始终来自同一组网络。它们正在扫描不同的端口和 IP。
最初,一些 Word 文档似乎受到了“轻微”损坏 - 奇怪的是,这些文档是用密码锁定的(我知道)。数十个文档的损坏情况都一样 - 似乎运行了一个脚本,先解锁这些文档,然后以完全相同的方式损坏它们。奇怪的是,我的几个 Excel 工作簿出现了另一个非常奇怪的问题 - 将光标移动到其他单元格时,光标总共闪烁 11 次。每次都是这样。这种情况发生在所有新旧 Excel 电子表格中。无论我是用大公式更新单元格,输入数字“2”,还是只是将光标移动到新的空白单元格,都一样。无论操作期间当前使用了多少内存,它都会闪烁 11 次。K 是字母表中的第 11 个字母。将一系列“K”放在一起会得到什么?尝试将 3 个并排排列。非常非常奇怪。还发生了其他一些奇怪的事情,例如 Windows Defender 停止、更新失败、离线扫描未完成、运行 SysInternals 时出现异常等。
我订购了替换硬件,非常奇怪的是,笔记本电脑屏幕上残留着一面飘扬的旗帜的图像(启动笔记本电脑时清晰可见)。我无法弥补。
感染病毒的笔记本电脑确实在 BIOS 中启用了 Computrace - 我不会妄下结论,但它确实永久启用了。解决该问题的唯一方法是完全更换硬件。
我现在正在对替换笔记本电脑进行组装 - 新硬件,没有 Computrace(已禁用),全新安装操作系统、防火墙、AV、更新、补丁等。我不相信这个问题已经消失,并担心我可能成为 DNS 中毒或 MIM 攻击的受害者。简而言之,以下是几个原因:
- 当我对我使用的域名进行 NSLOOKUP 时,我得到的响应总是显示“非权威答案”,这非常令人担忧。除其他原因外,我不记得以前发生过这种情况。
- 当我对 Fidelity.com 等域名执行 tracert 或 ping 时,我会看到不同的 IP 地址。(104.78.120.120) (69.192.61.249)。有时,像 Shutterstock.com 这样的网站会在 tracert、ping 和 nslookup 之间给我 3 个不同的地址。我知道很多网站都使用 CDNS,但我不确定这会如何影响负载平衡、IP 地址等。
- 当我查看站点证书时,我还看到了令人惊讶的事情。我看到了我使用的本地银行网站的“域名验证”站点证书。我期望至少看到“组织验证”证书。
- 当我运行“route print”命令时,我得到的响应显示大多数路由表都处于“on-link”状态。据我所知,这是在创建指向相关 IP 的直接“拨号”链接,并绕过网关。如果这是真的,这似乎真的令人震惊。
- 当我运行 tracert 时,在数据包到达我的 ISP 路由器之前,我就看到了 5 个 IP 地址!乍一看,这些地址绝对像是计算机 IP 地址(例如 1.2.3.4),而不是普通的路由器名称。当我跟踪这些 IP 时,“似乎”它们位于 ISP 的网络上——问题是在做什么。
- 我最近表示使用 BitDefender VPN 来进一步提高安全性。但是,现在看来我被强制连接到位于芝加哥的 VPN 服务器,而之前我可以断开连接,然后自动重新连接到其他美国服务器 - 例如迈阿密或纽约。这是刚安装几天的全新软件。我现在可以连接的唯一美国服务器是芝加哥的一家名为“24 Shells”的公司提供的。
- 我的电脑一整天都在不断断开 WIFI 连接 - 有些日子比其他日子更糟糕。但奇怪的是,断开连接 85% 的时间发生在芝加哥的康卡斯特路由器上。我打电话给支持人员,他们总是想指出我的设备和我的笔记本电脑。但事实是,85% 的时间路由都很好,只是在芝加哥断线了。断开连接并重新连接到 wifi 似乎解决了问题。这几乎就像我在芝加哥手动从该设备上断线一样。
- 我不会用这个盒子(或者任何时间的任何设备)做任何坏事。我只是有需要保护的商业资产和数据。我在家里的办公室里经营着一家合法的公司。
任何帮助或指导都将不胜感激。
答案1
当我对我使用的域名进行 NSLOOKUP 时,我得到的响应总是显示“非权威答案”,这非常令人担忧。除其他原因外,我不记得以前发生过这种情况。
non-authoritative answer是来自 NSLOOKUP 的完全正常的响应。
非权威答案只是意味着答案不是从查询域名的权威 DNS 服务器获取的。
当我对 Fidelity.com 等域名执行 tracert 或 ping 时,我会看到不同的 IP 地址。(104.78.120.120) (69.192.61.249)。有时,像 Shutterstock.com 这样的网站会在 tracert、ping 和 nslookup 之间给我 3 个不同的地址。我知道很多网站都使用 CDNS,但我不确定这会如何影响负载平衡、IP 地址等。
您所描述的情况是正常的,也是这些网站所期望的。如果您的浏览器没有显示证书存在问题,则对于有问题的网站,您正在访问的是合法网站。
当然,您正在运行 BitDefender,它具有扫描安全 HTTP 流量的功能。BitDefender 能够使用自己的证书扫描安全加密的 HTTP 流量。
当我运行 tracert 时,在数据包到达我的 ISP 路由器之前,我就看到了 5 个 IP 地址!乍一看,这些地址绝对像是计算机 IP 地址(例如 1.2.3.4),而不是普通的路由器名称。当我跟踪这些 IP 时,“似乎”它们位于 ISP 的网络上——问题是在做什么。
这实际上是完全正常的行为
我打电话给支持人员,他们总是想指出我的设备和笔记本电脑。但事实是,85% 的时间里,路由都很好,只是在芝加哥断线了。断开连接并重新连接到 WiFi 似乎解决了问题。这几乎就像我在芝加哥手动从该设备上断线一样。
既然您已确认自己感染了恶意软件,那么他们得出的结论似乎是正确的,即问题出在您的笔记本电脑上。听起来您应该执行 Windows 的全新安装并重新安装所有应用程序。
我最近表示使用 BitDefender VPN 来进一步提高安全性。但是,现在看来我被强制连接到位于芝加哥的 VPN 服务器,而之前我可以断开连接,然后自动重新连接到其他美国服务器 - 例如迈阿密或纽约。这是刚安装几天的全新软件。我现在可以连接的唯一美国服务器是芝加哥的一家名为“24 Shells”的公司提供的。
在我看来,BitDefender 是一些最糟糕的软件。我只会使用不同的 VPN 应用程序。有更多 VPN 提供商拥有更好的软件,甚至更好地支持 OpenVPN,所以没必要这么做。
我个人认为这很可能是一次有针对性的攻击 - 根据当前的防火墙日志,“似乎”我仍然受到攻击 - 攻击来自亚马逊、微软等运营的基于云的托管平台。这些攻击似乎始终来自同一组网络。它们正在扫描不同的端口和 IP。
根据问题描述,我可以向您保证这不是针对性攻击,而只是在部分清除恶意软件感染后导致严重系统损坏的结果。您描述的大多数问题都不是实际问题。