Re: keyen.txt

On Fri, May 31, 2002 at 12:33:36PM +0200, Giovanni Squassi wrote:

> Ciao a tutta la ML,
> ieri facendo un un po' di pulizia sul PC ho trovato un file (keyen.txt) che
> conteneva tutti i caratteri che ho digitato sulla tastiera (caratteri
> digitati nelle applicazioni, comandi ftp, telnet,ssh,ecc..)! L'ho cancellato
> immediatamente, ma oggi c'? ancora con tutto quello che ho digitato da
> stamattina.
> Qualcuno ha idea chi sia che scrive questo file (ho una macchina win98..)??
> Ho fatto un po' di ricerche ma non ho trovato niente di utile, e ovviamente
> anche l'antivirus mi ha detto che era tutto normale...

direi che con ogni probabilita' qualcuno ha installato un keylogger sul tuo
computer (e molto probabilmente anche una backdoor per accederci da remoto).

1) non connetterti da quella stazione ad Internet (o alla tua rete locale se
ci sono altri utenti di cui non ti fidi al 1000% oppure utenti che
potrebbero avere la stazione compromessa) finche non hai risolto

2) cambia _subito_, da una macchina non compromessa (puo' essere utile un
cd-rom/set di floppy tipo trinux.org), tutte le password dei sistemi a cui
ti sei connesso.. se non li amministri tu, avverti gli amministratori che
probabilmente hai avuto una compromissione del sistema e che la tua password
potrebbe essere caduta in mano di malintenzionati.

2bis) Calcola che quei sistemi potrebbero a loro volta gia' essere stati
compromessi (soprattutto se sono presenti vulnerabilita' locali o remote
sfruttabili con le tue credenziali oppure se hai usato credenziali di
amministrazione).

3) trova il keylogger/la backdoor con gli strumenti usuali e di cui si e'
parlato in questa lista (sorry, sono di fretta, se cerchi un minimo li
trovi, cmq strumenti per visualizzare processi aperti stile sysinternal,
foundstone & co) e bonifica la stazione.

3bis) se proprio devi per forza stare in rete, metti un personal-firewall ed
uno strumento di analisi del traffico per capire cosa sta succedendo e se ci
sono intrusioni sul tuo sistema

4) se il tuo antivirus non rileva niente di anomalo, o si tratta di una
backdoor non conosciuta... o l'antivirus e' obsoleto, oppure la presenza in
memoria di codice malicious impedisce all'av di rilevarlo. Prova anche con
un altro antivirus, per esempio f-secure o avp, facendo il boot da un floppy
di sistema non compromesso.

qualche tool lo trovi su:
http://www.incident-response.org/
http://www.incidents.org/

ed i soliti siti di security.

ps: se, come sembra, il nome del file di log non e' "gia' conosciuto",
probabilmente il keylogger permette all'attaccante di specificare il nome
del file su cui salvare i tasti registrati (tipo bo2k lo fa). E' da notare
che i tasti vengono salvati in un file e neanche particolarmente occultato,
quindi o l'attaccnate non aveva molta premura di nascondersi, oppure
potrebbe non essere particolarmente skillato.

bye
Koba (moderatore)

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List