ho usato ethereal tempo fa, hai tempi dell'infezione dell'msblaster per poter controllare se c'erano ancora pc infetti che mandavano pacchetti a tutti gli indirizzi ip, ed ha funzionato perfettamente.


Ora sono stato infetto dal Korgo (simile al sasser), ma ethereal non rileva nessun traffico, mentre il log del firewall (linux, di cui non ho diritto di accesso) era talmente grande che si e' riempito il server.

C'e' un programma decente anche a pagamento in grado di monitorare tutto?


Ho provato un programma di nome ettercap che scansiona un singolo ip, e l'ho usato su di un computer che sapevo essere infetto. Scandalosamente non ha trovato nulla, tranne gli invii e la ricezione della posta, e ancor piu' scandalosamente mi diceva addirittura il nome utente e PASSWORD! che stava usando!

Qualcuno sa' qualche cosa?

e usare un removal tool della symantec?

cmq di sniffer buoni c'è l'ottimo sniffer pro, poi c'è Iris.

a proposito di korgo,
avete letto qui (http://www.f-secure.com/weblog/) ?
C'è qualcosa di particolare da fare?

tenere la porta 445 chiusa e il sistema operativo aggiornato.

già fatto tks;)

Originariamente inviato da gohan
e usare un removal tool della symantec?



Usare il removal tool a caso su 130 computer non e' cosa saggia, meglio sapere quali sono i computer infetti e quali no.

non l'avevi detto che hai 130 pc! :p