Re: keyen.txt - fine 1° tempo, inizio del 2°

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2002 ml@sikurezza.org
Soggetto: Re: keyen.txt - fine 1° tempo, inizio del 2°
Mittente: blacktears
Data: 6 Jun 2002 17:38:00 -0000

non per metterti qualche problema in più..ma c'è da notare anche che c'è 
qualche modo per oltrepassare il firewall..(a parte natting e PAT) 
personalmente ho provato un programma (di cui non ricordo il nome) che 
riusciva a scaricare un file da remoto senza cheil firewall se ne 
accorgesse... tra quelli testati pure il tiny personal f..
cmq a mio parere se volessi scoprire il malfattore dovresti tenere prima di 
tutto sotto controllo il file in questione..e lasciare il keylogger 
attivo..SE qualcuno cerca di collegarsi alle porte che mette in ascolto 
otterrai l'ip del lamerozzolo in questione..a questo punto puoi fare un 
traceroute..o sapere il suo isp.. insomma informazioni in più..


At 15.04 05/06/02, you wrote:
>Dunque...
>
>Il file incriminato era winsck.exe. Ho cecato un po', ma l'unica cosa che ho
>trovato è riferita e che questo file potrebbe essere contenuto in una
>utility, ICQ NUKER , ma non spiega esattamente che cosa fa e di cui,
>comunque, sono di non aver mai installato niente (neanche il client ICQ); di
>sicuro, una volta lanciato:
>- si copia in c:\windws
>- parte in automatico
>- dalla lista dei task attivi (CTRL-ALT-CANC) non si vede
>- crea il file keyen.txt in cui logga quasi tutto quello che viene digitato
>(dico quasi, perché sembra che ogni tanto perda qualche lettera.....)
>- si mette in ascolto sulle porte TCP dalla 7700 alla 7705 comprese, ma
>apparentemente non cerca di connettersi da nessuna parte
>- il Tyny Personal firewall mi aveva avvertito di una applicazione che
>tentava di approriarsi di quelle porte, e già a suo tempo avevo aggiunto
>qualche filtro per evitare che lo facesse, anche se il nome
>dell'applicazione, a prima vista poteva sembrare fidato, quindi sono
>abbastanza (e dico ABBASTANZA.....) tranquillo che il file sia rimasto
>sempre lì.
>- Credo di avere sistemato il tutto (a proposito, ha anche una sua bella
>icona con una doppia presa, una spina inserita e una specie di lampo
>giallo...)
>
>ringrazio tutti quelli che mi hanno suggerito che fare, perché anche se è da
>un po' di tempo che leggo quasi tutto della ML e cerco di tenermi informato
>del resto, a parole sembra di avere sotto controllo tutto, ma poi all'atto
>pratico ti senti un po' imbranato!!!!!
>
>Ora viene il secondo tempo, cioè inizierò a cercare chi/come
>quell'applicazione è entrata nel mio piccì.
>Una domanda: se il sw si mette in ascolto su quelle porte e non cerca di
>effettuare nessuna connessione, con in mezzo un firewall che fa natting più
>fastweb che fa PAT, come può uno dall'esterno raggiungere quelle benedette
>porte? Io direi che non è possibile, ma se fosse così significa che devo
>cercare all'interno della mia LAN chi ha messo sto file? Oppure sto
>sbagliando qualcosa?
>
>Grazie a tutti e ciao
>Giovanni
>
>
>
>
>
>________________________________________________________
>http://www.sikurezza.org - Italian Security Mailing List


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Re: keyen.txt, blitzkrieg
- Re: keyen.txt - fine 1° tempo, inizio del 2°, Giovanni Squassi

Data:
- precedente: snort con syslog-ng, Michel 'ZioBudda' Morelli
- successivo: Fwd: [HaCkmEeTiNg] navigazione anonima..., Tornado [ALPT ]
- indice

Argomento:
- precedente: Re: keyen.txt - fine 1° tempo, inizio del 2°, Giovanni Squassi
- successivo: Re: keyen.txt - fine 1° tempo, inizio del 2°, Raffaele Pantaleoni
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005