Re: keyen.txt

>On Fri, May 31, 2002 at 12:33:36PM +0200, Giovanni Squassi wrote:

>> Qualcuno ha idea chi sia che scrive questo file (ho una macchina
win98..)??

-> Tutto sommato non sono molti i programmi che hanno interessi a farlo,
indi per trovare il colpevole presumo tu abbia gia'fatto CTRL-ALT-CANC per
vedere i task aperti e cercare qualcosa di strano, anche se va di moda :)
usare quella certa api per rendere il processo invisibile a suddetta combo.
Qualche altro keylogger come l'IKS -se non mi sbaglio- alla combo di tasti
appare come winsystem (con la w anche minuscola).
Puoi ancora fare diverse cosette.
Se sotto under win98 vai su esegui-> digita "msconfig"->Esecuzione
Automatica, c'e' un elenco decente dei componenti che vengono caricati
(visto che ci 6 puoi togliere la roba inutile...).
Ancora puoi usare un tool come TheCleaner (che rimuove trojani e keylogger,
db abbastanza fornito anche se non infallibile, che ce vo'fa':)
o...uhm...se non mi sbaglio su IoProgrammo del mese scorso (dovrei averlo
visto li) c'era un programmino che controllava direttamente gli hook, o
l'ho visto su PcWorld? A casa controllo.
Attento, se il simpaticone di turno ti ha installato Starr (della Iopus)
fidati che NON lo troverai facilmente (prova da esegui a digitare
"starrcmd", non zi za mai, non solo, puo'essere configurato per mandare i
report direttamente in qualche mailbox.
Ma nel file txt non c'e' nessuna firmettina del programma che lo genera? no
eh...
Uhm...c'e' un'altra cosa semplice semplice che puoi fare.
Se hai win 98, quasi sicuramente ce l'hai installato...
start->programmi->accessori->utilita'di sistema->microsoft system
information
a questo punto puoi controllare un sacco di cose, cmq dai la priorita' a
ambiente software, driver o moduli 32 bit e dai un'occhiata.
In caso ci sono diversi prog che hanno la stessa funzione e ti permettono
anche di killare quello che non ti ispira, a casa dovrei avere qualcosa
tipo killer32 o pcrview.
Vedrai anche le dll in uso e puo'darsi che ci trovi qualcosa di strano.
Quest'altro e'un po'+ aleatorio, ma prova a guardare tutti gli exe che hai
nel computer...ve lo dicevo che era aleatorio :) e chissa', magari tra un
calc.exe, notepad.exe, iexplorer.exe ci trovi lo 'spione' tipo
"keyspy.exe", mah?.
Se cmq il tuo simpatico amico e'stato furbo avra' almeno cambiato nome
all'eseguibile.

>> Ho fatto un po' di ricerche ma non ho trovato niente di utile, e
ovviamente
>> anche l'antivirus mi ha detto che era tutto normale...

-> non trovi niente con quello che ho scritto? Boia!

->*SEGUI* i comandamenti ;) del Koba e cmq puoi provare a tendere una
trappola...
Senti me: intanto cerca di scoprire se i log vengono consultati
dall'esterno e da chi (ovvio), se i log non vengono visti dall'esterno, e
non hai cartelle condivise, e'probabile che il tuo amico ogni tanto se li
scarichi manualmente dal pc...
in tal caso puoi fare un programmino che sovrascrive il file di log con
sentiti ringraziamenti all'amico ^_^ o che lo cancelli ogni n minuti (uhm,
pero'tenere una cosa cosi'in memoria puo'essere una palla) e cmq, un logger
di eventi che ti dice quando o quale programma file vieene/vengono aperti
non e'male...Starr lo fa.
Spero di non averti confuso ancora di piu' le idee, ma e'quanto meno quello
che farei io per stanare l'avversario. Se mi viene in mente qualche altra
cosa ti faro'sapere.

_______________
Lonely Wolf


_____________________________________________
Free email with personality! Over 200 domains!
http://www.MyOwnEmail.com


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List