NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Security
 FireWall e Protezioni
 informazione sui trojan		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Autore Discussione Precedente Discussione Discussione Successiva  

Daitan3
Advanced Member



425 Messaggi

Inserito il - 06/06/2003 : 15:55:48  Mostra Profilo
ciao a tutti. Ho una domanda che mi e' sorta ascoltando una discussione . Ipotizziamo che un soggetto dotato di antivirus e di FIREWALL entrambi a posto,tipo Norton 2003 "all inclusive" si becchi un trojan. Anche se sul pc non viene fatta alcuna scansione antitrojan, il soggetto se ne accorge sempre e comunque perche' il Firewall ogni qual volta che il trojan entra in azione gli apre una finestra con richiesta di azione sul collegamento tra il pc e l'esterno (es: word o il tal programma stanno per essere conessi con l'esterno). Se sono riuscito a spiegarmi (!!!) ho esposto un concetto corretto o no? Voi che ne dite??

chico
Starting Member



4 Messaggi
Inserito il - 24/06/2003 : 19:09:09  Mostra Profilo
ciao daitan nn ne sono sicuro nuovi trojani mai visti ma credo che cmq il firewall t avverte a meno che nn è impostato per usare quella determinata porta verso qualsiasi indirizzo e porta d destinzione
Torna all'inizio della Pagina

Gimli
Moderatore


Città: Belluno


1870 Messaggi
Inserito il - 24/06/2003 : 20:49:10  Mostra Profilo
In teoria il firewall dovrebbe avvisarti, a meno che il trojan non riesca a bypassare in qualche modo le impostazioni e a tenere così una porta aperta a tua insaputa. Colla varietà di personal firewall che ci sono in giro mi pare difficile che ci si possa imbattere in un programmino del genere.
Se il trojan modifica un programma esistente già autorizzato o tenta di connettersi autonomamente il firewall (a meno dell'eventualità di cui sopra) ti avviserà, perché ha memorizzato gli hash degli eseguibili autorizzati, e se non combaciano ti chiede che fare.
Un programmatore particolarmente astuto potrebbe tentare di manomettere gli hash memorizzati dal firewall, ma non so se è possibile (probabilmente su XP questo richiede i privilegi da amministratore).
Io avevo un worm che l'AV non ha scovato e l'ho beccato proprio grazie agli avvisi del firewall che continuava a chiedermi l'autorizzazione a connettersi per rundll.exe o simili.
Ciao.

Gimli
Torna all'inizio della Pagina

oRsO
Advanced Member




739 Messaggi
Inserito il - 25/06/2003 : 14:22:58  Mostra Profilo
Appena mi connetto il firewall mi dà questo avviso:

quote:

Generic Host Process for Win32 Services is trying to broascast to [224.0.0.9] using remote port 520 (EFS - extended file name server). Do you want to allow this program to access the network?


Se clicco su "Detail" ecco ciò che ne esce:

quote:

File Version : 5.1.2600.0 (xpclient.010817-1148)
File Description : Generic Host Process for Win32 Services
File Path : C:\WINDOWS\system32\svchost.exe
Process ID : 308 (Heximal) 776 (Decimal)

Connection origin : local initiated
Protocol : UDP
Local Address : *mioIP*
Local Port : 520
Remote Name :
Remote Address : 224.0.0.9
Remote Port : 520 (EFS - extended file name server)

Ethernet packet details:
Ethernet II (Packet Length: 66)
Destination: 02-00-20-00-02-00
Source: 00-00-02-00-00-00
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 1
Protocol: 0x11 (UDP - User Datagram Protocol)
Header checksum: 0x486f (Correct)
Source: *mioIP*
Destination: 224.0.0.9
User Datagram Protocol
Source port: 520
Destination port: 520
Length: 8
Checksum: 0x17bd (Correct)
Data (32 Bytes)

Binary dump of the packet:
0000: 02 00 20 00 02 00 00 00 : 02 00 00 00 08 00 45 00 | .. ...........E.
0010: 00 34 0C FD 00 00 01 11 : 6F 48 50 75 0C F6 E0 00 | .4......oHPu....
0020: 00 09 02 08 02 08 00 20 : BD 17 01 02 00 00 00 00 | ....... ........
0030: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
0040: 00 10 : | ..


Io clicco su "NO" (non permetto al programma di accedere alla rete) e navigo sonza problemi.
Cosa è?
Può essere un trojan o simili? (tipo il worm di Gimli)
Devo preoccuparmi?

/|ORSO|\
Torna all'inizio della Pagina

gibi
Moderatore


Città: N.D.


2107 Messaggi
Inserito il - 25/06/2003 : 16:18:31  Mostra Profilo
No, no!!! É semplicemente 1 dei tanti modi ke la Microsoft, o un'altra software house di cui hai un programma installato, usa per ricevere info dal tuo PC (tipo la storia della UDP1900). Ciao!

gibi
Torna all'inizio della Pagina

oRsO
Advanced Member




739 Messaggi
Inserito il - 25/06/2003 : 19:47:20  Mostra Profilo
Che roba è "la storia della UDP1900"?

/|ORSO|\
Torna all'inizio della Pagina
  Discussione Precedente Discussione Discussione Successiva  

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,37 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000