Condividi:        

Un vero attacco da un intruso!!!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Un vero attacco da un intruso!!!

Postdi Giulio » 06/08/02 00:31

Una persona in un forum dove scrivo ha ricevuto un intrusione, gli abbiamo fatto molte domande per accertarci di cosa si trattasse ma alla fine scaricando un anti trojan ha davvero trovato backdoor 2.3 sul suo pc!!! :o
ecco cosa ha descritto:

--------------------------------------------------------------------------------

il mouse non era in tilt cioè bloccato... si muoveva proprio in modo normale ma non lo comandavo io!
eppoi nel momento in cui c'è stato questo fatto il pc ha fatto il classico "rumore"(non sò come si dice precisamente) quello che fà quando si aprono programmi ma io non stavo facendo nulla e da lì il mouse ha iniziato a muoversi straordinariamente!
mi è capitato di avere il mouse che vibra su e giù.. ma quello di chiudere finestre andare nelle proprietò dei programmi.. scegliere il menù ecc.. mi sembra assurdo!

--------------------------------------------------------------------------------

Tutto abbazstanza normale se lo avete gia' visto fare.... ma come spiegate che lei ha Zone alarm installato e funzionante??? (forse la nuova versione 3.1)
Questa persona ha una flat e sta' connessa molto, ma non fa' chat o cazzeggi vari o giochicchia con gli allegati ma: cosa preoccupante (ma forse e' un caso) usa il pc per tradare in borsa.
Comunque appena ha visto fare quelle cose ha resettato il pc percio' non c'e' un log.
Voi che ne pensate??
Ultima modifica di Giulio su 06/08/02 08:39, modificato 1 volte in totale.
Giulio
Utente Senior
 
Post: 189
Iscritto il: 21/08/01 01:00

Sponsor
 

Postdi Frengo78 » 06/08/02 08:29

Boh.. non so che dirti.. Magari il trojan era sulla macchina da prima che fosse installato zone alarm. Cmq ci sono diversi test online per la scansione delle porte. Provane uno per stare piu tranquillo
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Giulio » 06/08/02 08:37

frengo78 ha scritto:Boh.. non so che dirti.. Magari il trojan era sulla macchina da prima che fosse installato zone alarm.


interessante ipotesi.....

ma cosa cambia? cioe' zone dovrebbe accorgersi del traffico non autorizzato, se si attiva una porta non cambia l'essere gia installato o non aver mai lavorato.... o sbaglio?
Giulio
Utente Senior
 
Post: 189
Iscritto il: 21/08/01 01:00

Postdi Frengo78 » 06/08/02 08:50

mmmmm effettivamente al primo tentativo di uscita in rete zone alarm doveva segnalare il tentativo e chiedere il permesso per uscire all'utente. E se l'utente ignaro del pericolo avesse dato le permission al trojan per uscire liberamente e comunicare con l'esterno?

..E la borsa... s'impennaaaa!!! :lol:
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Giulio » 06/08/02 09:02

No non credo..... almeno non in quel momento, certo il trojan avrebbe potuto aver chiesto tempo prima in un altra occasione di uscire, e distrattamente gli si ha dato il permesso definitivo senza doverlo richiedere ogni volta... approposito:
1) io tengo tutti i programmi con la selezione di doverlo richiedere ogni volta (a parte IE) fa la differenza?
2) ma il trojan puo' usare una porta usata da un altro programma e quindi gia' attivata per ZA?
Giulio
Utente Senior
 
Post: 189
Iscritto il: 21/08/01 01:00

Postdi Frengo78 » 06/08/02 09:23

Intendevo infatti dire che gli era stata data la permissione tempo prima.

Per le due domande... 1) boh, io autorizzerei tutto cio che usi abitualmente altrimenti sai che @@ quando ti colleghi con 3 o 4 programmi? 2) Non c'entra a mio parere. Tu autorizzi quel programma ad uscire non autorizzi tutto il traffico su una determinata porta. Mi spiego? Due programmi possono usare la stessa identica porta ma la loro autorizzazione per zone allarm avviene due volte. Esempio: ie e netscape utilizzano la stessa porta ma devi autorizzarli entrambi.

E se ho detto castronerie ditemelo piano piano che le cancello :)
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Triumph Of Steel » 06/08/02 13:29

e se il lamerone avesse avuto accesso al PC della vittima (fisicamente) e attivato quindi il trojan su ZA??
Avatar utente
Triumph Of Steel
Moderatore
 
Post: 7852
Iscritto il: 22/08/01 01:00

Postdi Giulio » 06/08/02 13:35

Triumph Of Steel ha scritto:e se il lamerone avesse avuto accesso al PC della vittima (fisicamente) e attivato quindi il trojan su ZA??


giusto.
e' quello che gli ho gia' chiesto stamane e sto' attendendo risposta.

p.s. usa messenger.
Giulio
Utente Senior
 
Post: 189
Iscritto il: 21/08/01 01:00

Postdi Frengo78 » 06/08/02 13:37

ma porta la signorina da noi cosi possiamo farle domande piu direttamente 8)
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Triumph Of Steel » 06/08/02 13:38

Giulio ha scritto:p.s. usa messenger.


beh.. a parte qualche buko, non credo c'entri... al max si torna sul discorso della stessa porta... ma ZA deve dare l'auth al programma e non alla porta...
Avatar utente
Triumph Of Steel
Moderatore
 
Post: 7852
Iscritto il: 22/08/01 01:00

Postdi Frengo78 » 06/08/02 13:40

sgrunf... io credevo che il ps fosse un messaggio tra Giulio e Tos per parlarsi su messenger..

Confermo quello che ha detto TOS. Messenger non c'entra
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Giulio » 06/08/02 13:51

frengo78 ha scritto:ma porta la signorina da noi cosi possiamo farle domande piu direttamente 8)


eheheheh ..... ma cierrrrto..... ;)

prima devo "approfondire"
Giulio
Utente Senior
 
Post: 189
Iscritto il: 21/08/01 01:00

Postdi Giulio » 06/08/02 13:52

ok
niente messenger, e' il programma che genera la richiesta di ZA e non la porta.

grazie
:)
Giulio
Utente Senior
 
Post: 189
Iscritto il: 21/08/01 01:00

Postdi Frengo78 » 06/08/02 13:54

devi approfondire il problema o con la signorina? :P
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi BianConiglio » 07/08/02 10:52

ma ZA deve dare l'auth al programma e non alla porta...


Giusto.....ma come insisto sempre a dire ( e nessuno se ne è mai curato troppo... :roll: ) i retrovirus sono potenzialmente i più dannosi !!
Un bel dì mi venne in mente un ideuzza...e sviluppandola ed attaccando con un eseguibile di una manciata di Kb non solo si è in grado si MANIPOLARE AntiVirus ( testati Norton McAfee PcCillin Panda.....tra breve Avp ) ma anche Firewalls ( tra i quali il mitico Zone Alarm ).

Attaccando le opzioni ( siano chiavi, ini, dat o quant altro ), ed eseguendo il codice del retrovirus prima del codice del virus vero e proprio, è possibile disattivare l' antivurs o rendere l'esecuzione del virus ( successivo ) lecita e dare tutti i permessi di rete al virus modificando ( o brutalmnete disattivando ) le proprietà dei permessi del firewall.

Ocio. :diavolo:

Finchè non finirò RetroVirusUnMask ( e i tempi sono lunghi perchè sono un pigro schifoso ).... i retrovirus saranno un bel problema..fortunatamente non ci sono in giro moltissimi esempi di questo genere....ma se ci ho pensato io...significa che domani qualcun altro ci penserà. ( per chi è curioso ecco uno shot del prog...fate copia incolla sennò non funziona )

http://www.angelfire.com/80s/emmanuelas ... UMshot.jpg
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi Frengo78 » 07/08/02 11:08

Quando parli di retrovirus che disabilitano i sistemi di sicurezza (antivirus e firewall) ti riferisci a qualcosa di simile al WIN32.PIORIO Backdoor ovvero l'exploit che sta alla base del software What Security 2.0 scaricabile da questo sito? Se si mi risulta che almeno il norton abbia gia patchato questa falla e che non sia piu tanto semplice disattivare l'antivirus mediante codice.

Cmq buon lavoro!

Dov'eri sparito? Eri in ferie?
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi BianConiglio » 07/08/02 11:38

No.

Il PoC ( ottimo ) di Iorio DISATTIVA l'antivirus. E volendo è semplice scrivere un soft che cancella dall'esecuzione automatica un Av o Fw.. ma così facendo il pc è aperto a TUTTI gli attacchi...e se è intenzione del malintenzionato spiare ( un trojan è per spiare fondamentalmnete ) non è una buona cosa attaccare un pc potenzialmente vulnerabile a qualsiasi virus..( basta un worm, l' av non lo rileva ed è il macello..e tra le altre cose l'attaccante perde la vittima )..e "meglio" modificare Av e Fw in modo da autorizzare esecuzione e comportamento di un solo o più ( ma cmq tutti controllati dall'attaccante ) eseguibili.

Gli eseguibili di cui parlo io iniettano nuovi eseguibili all'intenro di opzioni.
Mi spiego meglio.. ( parlo di Norton, del quale ho già parlato e non di Zone Alarm, perchè i lamer hanno le orecchie lunghe e leggono i forums )
Per far eseguire a Norton un virus del quale ha la definizione, è necessario modificare le opzioni delle esclusioni che si trovano nel file exclude.dat in *nortondir*\ . E' quindi possibile creare un eseguibile che inietti ( con diverse metodologie per diversi av ) informazioni in questo file per far si che il file infetto possa venir eseguito tranquillamente, essendo all'interno della lista dei files da "non scansire".

Lo stesso ( con metodologie simili ) per Panda, Pc Cillin MCafee e via dicendo.. Idem per i Fw, dove il discorso è un po' più complicato perchè da attaccare ( iniettare o direttamente sovrascrivere ) è il database. Ma cmq fattibile ( fatto e testato ) Se ti interessa ne parliamo in privato, come ho già detto non voglio mettere la pulce nell'orecchio ai lamer figli fi trojan.

Il RetroVirusUnMask ha il compito di monitorare ( come startupmonitor di mike lin fa per l'esecuzione automatica ) tutte le chiavi e files di opzioni attaccabili da eseguibili come ho destritto sopra...

Insomma...vuoi modificar ele opzioni o databases di Av e Fw ? RetroVirusUnMask ti chiede la conferma....bèp..detto in parole semplici...

PS: Si !! ero a rimini da 10 giorni !! miii che macello !! :D
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi Frengo78 » 07/08/02 11:48

Grande, non ti chiedo altro, era solo una curiosita e la spiegazione è stata piu che esauriente. Beh buon lavoro!!!

Rimini rimini... e bravo! 8)
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi dado » 07/08/02 16:48

BianConiglio ha scritto: ma se ci ho pensato io...significa che domani qualcun altro ci penserà.


No, perchè tu hai una mente contorta... :D
Mica sarai un lamer?!!? :lol: :lol:

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi Triumph Of Steel » 07/08/02 16:55

Allora il modo + semplice per stare tranquilli è scaricare un AV e/o un FW totalmente sconosciuti... che neanche il virus conosce...
visto che di solito cerca Norton, AVP, Panda, Inoculate, ZA, Tiny, ecc ecc
Avatar utente
Triumph Of Steel
Moderatore
 
Post: 7852
Iscritto il: 22/08/01 01:00

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Un vero attacco da un intruso!!!":

San Valentino ...vero...
Autore: nippon
Forum: Forum off-topic
Risposte: 2

Chi c’è in linea

Visitano il forum: Nessuno e 56 ospiti