1 ECHO request -> 2 ECHO reply

Salve a tuttl la ml.
E' la prima volta che scrivo anche se sono iscritto da un pezzo.

Nella rete di un cliente mi sono imbattuto in una strana situazione:
dopo alcune analisi in segmento ethernet in cui si verificavano strani 
blocchi, ho trovato un IP che al ping rispondeva con 2 echo-reply per ogni 
echo-request.
Sulle prime ho pensato ad un duplicate IP address, ma disabilitando la 
porta relativa al MAC che rispondeva all'IP in questione, nessun altro MAC 
ha pių risposto a tale IP.

Sono riuscito a rintracciare la macchina in questione, si trattava di un 
pc Win2k che una volta riavviato e rimesso in rete pareva non avere pių 
questo strano comportamento.
Lanciandogli un nmap ho visto che oltre alle consuete porte di Netbios, 
aveva la TCP 1025 in ascolto.

Sulla macchina sono riuscito solo a verificare che non aveva un antivirus 
installato e che partiva in automatico il processo internat.exe.

Da una ricerca su google ho visto che si tratta di un processo di Win2k 
spesso utilizzato, dopo manipolazione, da svariati virus e trojan, anche 
se da nessuna parte ho trovato menzionato lo strano comportamento 
dell'ICMP.
In seguito ho saputo che una volta installato Norton AV, la scansione 
completa non ha rilevato nulla di sospetto; comunque il file internat.exe 
č stato eliminato, ora la scansione con nmap non trova pių la porta 1025 
aperta.

Qualcuno si č imbattutto in qualcosa di simile?

Grazie e saluti a tutti.
Fabio P.



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List