NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Computer Virus
 cosa può fare il qaz?		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Autore Discussione Precedente Discussione Discussione Successiva  

a.aus
New Member

Città: Civitavechhia


36 Messaggi

Inserito il - 07/06/2005 : 16:46:06  Mostra Profilo
Salve a tutti...
Ho bisogno di aiuto.
Devo risolvere un problema un pò rompipal.....
Lavoro in un azienda che ha delle postazioni che comunicano in notturna tramite LAN con linea ISDN.
Le postazioni sono moltissime oltre 200 nella mia sotto rete...
Ognuna di queste postazioni effettua una chiamata in centrale in notturna per scambiare/salvare dati tutte le notti
in automatico con una procedura schedulata che dura al massimo una mezzoretta.
Ora ho avuto una segnalazione da un gestore delle postazioni di chiamate infinite.
Il gestore se ne accorto dalla bolletta TELECOM che ha riportato chiamte durate la bellezza di 413 ore consecutive
(pari a oiltre 1000 € di telefonata...).
Ho fatto i miei controlli in centrale e sulle procedure schedulate e non ho trovato niente che possa aver effettuato una telefonata così
lunga.....
Ho sostituito la macchina nella postazione e l'evento non si è più verificato...
Ora la direzione mi chiede una spiegazione di come sia stato possibile... Ho messo sotto sopra il PC che era installato al momento delle telefonate.
Ci ho montato su un antivirus ed ho scoperto che la macchina (s.o. WinNt 4.0) era infetta da un I-WORM QAZ!!
Ora quello che mi chiedo è se questo worm sia in grado di lanciare magari delle ping statiche ad indirizzi della lan aziendale a cui è collegato il pc...
Il problema è che poi dovrei dimostrarlo alla direzione... e qui il problema si complica perchè l'antivirus mi ha rimosso
il file infettato (il notepad.exe) e sistemato le chiavi di registro...
Ciò che vorrei fare è REINFETTARE IL PC con il QAZ e poi monitorare il traffico in uscita con uno sniffer.....
che ne pensate?

Yves
Moderatore


Città: Buenos Aires


6097 Messaggi
Inserito il - 08/06/2005 : 01:44:18  Mostra Profilo
Qui ci sono un pò di info, direi che noie ha l'aria di poterne creare non poche...

htt*://freeweb.supereva[.com]/trucchiesegreti/WormQAZ.htm?p

Se la tua macchina era infetta, normalmente dovresti trovare dentro il files "note.exe" (ex notepad.exe), vedi anche se esiste ancora la chiave di registro come da spiegazione, se si hai la prova....

Mi risulta comunque strano che non ci sia una forma su quella macchina per filtrare le chiamate ed i tempi di chiamata, essendo procedura automatica mi risulta alquanto rischioso, ed inoltre un registro di connessione deve pur esistere, al limite la fattura telecom ti può dare un'idea di cosa è realmente accaduto.

Cosa significa inoltre "ci ho messo su un antivirus", prima non c'era??????

Ciao.
Modificato da - Yves in data 08/06/2005 01:48:35
Torna all'inizio della Pagina

Yves
Moderatore


Città: Buenos Aires


6097 Messaggi
Inserito il - 11/06/2005 : 04:50:06  Mostra Profilo
Morto, a mio avviso licenziato, sniff.....
Torna all'inizio della Pagina
  Discussione Precedente Discussione Discussione Successiva  

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,17 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000