Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Vermoedens van sypware op werkcomputer, nu valideren.

Pagina: 1
Acties:

woensdag 19 november 2014 21:45

Acties:
  • procyon
  • Registratie: Februari 2000
  • Laatst online: 26-11 18:09

procyon

Topicstarter
Hey guys,

Ik zit ff met een gebrek aan kennis en hoop dat jullie me wellicht een beetje op weg kunnen helpen.
Sinds een tijdje een nieuwe baan bij een bedirjf waar ik het goed naar mijn zin heb,

Punt is dat ik soms onder het werken (ook thuis via VPN) ineens het lampje van mijn webcam (laptop) aan zie gaan en na een paar seconden weer uit.. Dit is gewoon niet in de haak en ik wil gaan onderzoeken wat het precies is.

Ik denk dat het het beste is (geen local admin namelijk) om niet te graven op de laptop zelf maar via mijn eigen netwerk thuis te monitoren welke connecties er in de achtergrond gelegd worden en wat er over verstuurd wordt. (maar hoe moet ik dat doen? Mochten jullie wat specifieke of algemene tips hebben dan zouden jullie me daarmee enorm helpen.

Is dat trouwens de juiste anvliegroute of denken jullie aan usb linux boottables om te zoeken etc?

woensdag 19 november 2014 21:49

Acties:
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Volgens mij kan je beter gewoon aan je werkgever vragen of ze monitoring via de webcam doen. Veel beheer en tracking systemen hebben dat, en die maken ook gewoon periodiek foto's. Dat kan dus ook gewoon getimed zijn en heeft weinig met je netwerk te maken.

Dus eerst naar je IT afdeling, daarna zelf verder kijken. Je kan ook gewoon je camera afplakken.

Wil je toch perse malware zoeken die er waarschijnlijk niet is: bootable anti malware CD gebruiken, er zijn er zat van (google maar). Als je geen lokale admin bent denk ik echter dat het niet de bedoeling is dat je zomaar met wat anders op gaat starten, lees even je bedrijfspolicy na.

woensdag 19 november 2014 21:54

Acties:
  • procyon
  • Registratie: Februari 2000
  • Laatst online: 26-11 18:09

procyon

Topicstarter
johnkeates schreef op woensdag 19 november 2014 @ 21:49:
Volgens mij kan je beter gewoon aan je werkgever vragen of ze monitoring via de webcam doen. Veel beheer en tracking systemen hebben dat, en die maken ook gewoon periodiek foto's. Dat kan dus ook gewoon getimed zijn en heeft weinig met je netwerk te maken.

Dus eerst naar je IT afdeling, daarna zelf verder kijken. Je kan ook gewoon je camera afplakken.

Wil je toch perse malware zoeken die er waarschijnlijk niet is: bootable anti malware CD gebruiken, er zijn er zat van (google maar). Als je geen lokale admin bent denk ik echter dat het niet de bedoeling is dat je zomaar met wat anders op gaat starten, lees even je bedrijfspolicy na.
Dank voor je reactie, Ik heb bij HR gevraagd of ze wisten of iets dergelijks gedaan wordt. Niemand daar wist er wat van en daarmee zou het illegaal zijn als ze het stiekem doen.
Wat als ik s'morgens in mijn blote gat nog ff snel dat rapport doorstuur? Ik vind monitoring persoonlijk niet acceptabel.

donderdag 20 november 2014 00:35

Acties:

Verwijderd

Afplakken en kijken of er iemand reageert. Camera observatie zonder toestemming binnen een woning is zelfs flink strafbaar.

donderdag 20 november 2014 01:05

Acties:
  • Trommelrem
  • Registratie: Februari 2009
  • Laatst online: 09-11-2021

Trommelrem

Het kan ook een brakke connector zijn. Een camera die "opstart" wil ook weleens oplichten.

Je kunt een brakke connector testen door een webcamsessie op te zetten (bijv. Chatroulette, als je geen webcamapplicatie hebt) en om dan je beeldscherm te bewegen.

maandag 24 november 2014 11:25

Acties:
  • procyon
  • Registratie: Februari 2000
  • Laatst online: 26-11 18:09

procyon

Topicstarter
oke, systeembeheerder gevraagd en hij deed er erg laconiek over; "ooh misschien heb je een virusje te pakken". Draai maar even een full scan.. (waarbij de monitoring shit uiteraard op de whitelist is gezet. Verder boeide het hem niet veel.
Wanneer ik de exception list wil bekijken in de virusscanner staat er dan de admin die toegang het heeft uitgeschakeld.

Update, er is nu ook continue een proces op de achtergrond actief waardoor mijn processorgebruik nu continue op 50% staat. Ik liet hem ook dat zien en zijn reactie was; "tsja, maar je hebt nog genoeg power over toch?". Zou er aan distributed computing gedaan worden? Ik wordt steeds nieuwsgieriger. Vanavond het netwerkverker eens monitoren op mijn thuisnetwerk.

maandag 24 november 2014 12:52

Acties:

Verwijderd

Wat een kansloos figuur die systeembeheerder.

maandag 24 november 2014 13:03

Acties:
  • Trommelrem
  • Registratie: Februari 2009
  • Laatst online: 09-11-2021

Trommelrem

Je kunt WinPE gebruiken om een offline scan uit te voeren op het systeem. Maar waarschijnlijk gaat het om legale software waarmee wellicht iets te veel monitoring wordt uitgevoerd. Met Bitlocker wordt offline scannen overigens best moeilijk, tenzij je de keys hebt.

Persoonlijk koppel ik de microfoon+webcam fysiek los, maar je kunt de webcam ook gewoon afplakken :)

maandag 24 november 2014 13:08

Acties:
  • Releases
  • Registratie: Maart 2009
  • Laatst online: 28-11 14:04

Releases

Ja maar!

Wellicht eens een Whireshark installeren en kijken wat er over de internet lijn gaat wanneer het webcam lampje begint te knipperen?

maandag 24 november 2014 14:08

Acties:

Verwijderd

Kan ook een vieze systeembeheerder zijn, just sayin :) Zet anders de webcam uit als je daarvoor rechten heb in het hardwarebeheer.

maandag 24 november 2014 14:55

Acties:
  • Starke
  • Registratie: Juli 2009
  • Laatst online: 28-11 16:33

Starke

Als je beheerder er toch zo weinig aandacht aan geeft of het niet belangrijk vind zou ik zorgen dat die pc niet meer opstart. Als er een pc 50% cpu gebruik heeft bij niks doen en vage dingen met een webcam dan is het eerste wat een systeembeheerder behoort te doen dat ding uit het domein halen, (desnoods eerst virusscanner deïnstalleren of iets in verband met de licenties daarvan) en dan nieuwe image eroverheen. Als dit niet gedaan wordt dan zou ik hem een handje daarbij helpen (ntoskrnl.exe hernoemen naar ntoskrnl.bak of gewoon verwijderen).

Maar goed ik ben zelf ook snel klaar met systeembeheerders die zo laconiek / gedesinteresseerd op een mogelijke bedreiging op het netwerk reageren.

Nu is bovenstaand uiteraard niet de juiste manier maar zou je eigenlijk de syteembeheerder moeten overtuigen dat hij een image over de werkcomputer moet zetten om op normale snelheid productie te kunnen draaien.
-----------------------------------------------------------------------------------------------------------------------
Als je hier zelf tijd in wil steken zonder toestemming van de systeembeheerder
-----------------------------------------------------------------------------------------------------------------------
Er zijn antispyware boot-cd's die je (indien je boot opties niet vergrendeld zijn) kan gebruiken:
Acronis Antimalware
Antivirus LiveCD
Alternate Operating System Scanner (AOSS)
Comodo Rescue Disk
Dr.Web LiveDisk
F-secure rescue cd
G DATA boot medium
Kaspersky Rescue Disk
Panda SafeDisk rescue disk

Verder zijn er nog AVG Rescue CD, AVIRA AntiVir Rescue CD, ESET Sysrescue Live en Windows Defender Offline.

Al deze zijn ook te gebruiken op een usb stick via YUMI.

Als je een beetje van Reverse Engineering kan (en weet wat voor process de zooi op je pc doet) zou je eventueel nog een distributie als REMnux kunnen gebruiken om het process helemaal tot in de gronden uit te zoeken. (Ik zou hier zelf geen tijd in steken :P).

[ Voor 59% gewijzigd door Starke op 24-11-2014 20:35 . Reden: extra info en grammar ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq