Mi occorre aiuto...

a.aus · 07-06-2005, 15:59

Salve a tutti...
Ho bisogno di aiuto.
Devo risolvere un problema un pò rompipal.....
Lavoro in un azienda che ha delle postazioni che comunicano in notturna tramite LAN con linea ISDN.
Le postazioni sono moltissime oltre 200 nella mia sotto rete...
Ognuna di queste postazioni effettua una chiamata in centrale in notturna per scambiare/salvare dati tutte le notti
in automatico con una procedura schedulata che dura al massimo una mezzoretta.
Ora ho avuto una segnalazione da un gestore delle postazioni di chiamate infinite.
Il gestore se ne accorto dalla bolletta TELECOM che ha riportato chiamte durate la bellezza di 413 ore consecutive
(pari a oiltre 1000 € di telefonata...).
Ho fatto i miei controlli in centrale e sulle procedure schedulate e non ho trovato niente che possa aver effettuato una telefonata così
lunga.....
Ho sostituito la macchina nella postazione e l'evento non si è più verificato...
Ora la direzione mi chiede una spiegazione di come sia stato possibile... Ho messo sotto sopra il PC che era installato al momento delle telefonate.
Ci ho montato su un antivirus ed ho scoperto che la macchina (s.o. WinNt 4.0) era infetta da un I-WORM QAZ!!
Ora quello che mi chiedo è se questo worm sia in grado di lanciare magari delle ping statiche ad indirizzi della lan aziendale a cui è collegato il pc...
Il problema è che poi dovrei dimostrarlo alla direzione... e qui il problema si complica perchè l'antivirus mi ha rimosso
il file infettato (il notepad.exe) e sistemato le chiavi di registro...
Ciò che vorrei fare è REINFETTARE IL PC con il QAZ e poi monitorare il traffico in uscita con uno sniffer.....
che ne pensate?

bluepix · 07-06-2005, 16:38

Sicuramente avrai letto tutto quello che è scritto nei vari siti antivirus.
E avrai anche letto che si tratta di un backdoor che si installa e attende ordini dall'esterno.

La frase che più è aderente al tuo caso è questa:
Rimane in ascolto (porta 7597) in attesa di "ordini dall'esterno".

Se questo è vero(e perchè non dovrebbe?), una volta accesa,la macchina non si disconnette mai e questo spiega l'alto numero di ore di collegamento.

Ps. Trovare una copia di questo trojan/backdoor non è semplice.

a.aus · 07-06-2005, 16:57

Anche io non ho dubbi che il responsabile di quel numero elevato di ore continuate di chiamata sia il virus... ma mi occorre una certificazione per dimostrarlo...
L'idea mia era proprio quella di ripristinare la situazione precedente alla scansione con l'antivirus e poi monitorare il traffico di pacchetti con l'esterno...

bluepix · 08-06-2005, 11:40

Quote:

Originariamente inviato da a.aus

Anche io non ho dubbi che il responsabile di quel numero elevato di ore continuate di chiamata sia il virus... ma mi occorre una certificazione per dimostrarlo...
L'idea mia era proprio quella di ripristinare la situazione precedente alla scansione con l'antivirus e poi monitorare il traffico di pacchetti con l'esterno...

Leggendo un po' in giro, pare che anche Microsoft nel 2000 fu colpita dal virus Notepad e in quel caso furono carpiti molti sorgenti in sviluppo.
Sei capitati in una compagnia molto importante

Chiedi ai tuoi responsabili di fidarsi di quello che affermi tu anche senza prove dettagliate considerato che tu sei l'esperto(ecchecavolo!!!!).
Ripristinare questo tipo di virus è praticamente impossibile in un sistema NT, anche perchè non è, e dico meno male, pubblicato.
Forse il nostro amico MrOZ ne ha una copia che usa per i suoi test.
Una domanda:
Come mai, se il virus è del 2000, l'antivirus non lo ha beccato subito?
Le macchine (200) che gestisci sono tutte protette da software per la sicurezza(antivirus, firewall, antispyware)?
Se no lo fossero, ti consiglierei, visto la rete che gestisci, di provvedere immediatamente. Questo di aiuterebbe ad avere meno "mal di testa".
Ciao

a.aus · 08-06-2005, 13:22

sono riuscito a reinfettare il pc....
ripristinando dalla quarantena dell'a.v.

con uno sniffer ho rilevato un elevato traffico in uscita di pacchetti dalla macchina verso l'esterno...
Beccato!!!

Grazie tutti!!!

bluepix · 08-06-2005, 13:38

Considerato che il trojan, come caratteristica ha quello di cercare altre macchine nella rete locale e tentare di infettarle, stai correndo un bel rischio

ciao

07-06-2005, 15:59	#1
a.aus Junior Member Iscritto dal: Jun 2005 Messaggi: 3	Mi occorre aiuto... Salve a tutti... Ho bisogno di aiuto. Devo risolvere un problema un pò rompipal..... Lavoro in un azienda che ha delle postazioni che comunicano in notturna tramite LAN con linea ISDN. Le postazioni sono moltissime oltre 200 nella mia sotto rete... Ognuna di queste postazioni effettua una chiamata in centrale in notturna per scambiare/salvare dati tutte le notti in automatico con una procedura schedulata che dura al massimo una mezzoretta. Ora ho avuto una segnalazione da un gestore delle postazioni di chiamate infinite. Il gestore se ne accorto dalla bolletta TELECOM che ha riportato chiamte durate la bellezza di 413 ore consecutive (pari a oiltre 1000 € di telefonata...). Ho fatto i miei controlli in centrale e sulle procedure schedulate e non ho trovato niente che possa aver effettuato una telefonata così lunga..... Ho sostituito la macchina nella postazione e l'evento non si è più verificato... Ora la direzione mi chiede una spiegazione di come sia stato possibile... Ho messo sotto sopra il PC che era installato al momento delle telefonate. Ci ho montato su un antivirus ed ho scoperto che la macchina (s.o. WinNt 4.0) era infetta da un I-WORM QAZ!! Ora quello che mi chiedo è se questo worm sia in grado di lanciare magari delle ping statiche ad indirizzi della lan aziendale a cui è collegato il pc... Il problema è che poi dovrei dimostrarlo alla direzione... e qui il problema si complica perchè l'antivirus mi ha rimosso il file infettato (il notepad.exe) e sistemato le chiavi di registro... Ciò che vorrei fare è REINFETTARE IL PC con il QAZ e poi monitorare il traffico in uscita con uno sniffer..... che ne pensate?

07-06-2005, 16:38	#2
bluepix Senior Member Iscritto dal: Dec 2004 Città: Magenta(MI) Messaggi: 1513	Sicuramente avrai letto tutto quello che è scritto nei vari siti antivirus. E avrai anche letto che si tratta di un backdoor che si installa e attende ordini dall'esterno. La frase che più è aderente al tuo caso è questa: Rimane in ascolto (porta 7597) in attesa di "ordini dall'esterno". Se questo è vero(e perchè non dovrebbe?), una volta accesa,la macchina non si disconnette mai e questo spiega l'alto numero di ore di collegamento. Ps. Trovare una copia di questo trojan/backdoor non è semplice.

07-06-2005, 16:57	#3
a.aus Junior Member Iscritto dal: Jun 2005 Messaggi: 3	Anche io non ho dubbi che il responsabile di quel numero elevato di ore continuate di chiamata sia il virus... ma mi occorre una certificazione per dimostrarlo... L'idea mia era proprio quella di ripristinare la situazione precedente alla scansione con l'antivirus e poi monitorare il traffico di pacchetti con l'esterno...

08-06-2005, 13:22	#5
a.aus Junior Member Iscritto dal: Jun 2005 Messaggi: 3	sono riuscito a reinfettare il pc.... ripristinando dalla quarantena dell'a.v. con uno sniffer ho rilevato un elevato traffico in uscita di pacchetti dalla macchina verso l'esterno... Beccato!!! Grazie tutti!!!

08-06-2005, 13:38	#6
bluepix Senior Member Iscritto dal: Dec 2004 Città: Magenta(MI) Messaggi: 1513	Considerato che il trojan, come caratteristica ha quello di cercare altre macchine nella rete locale e tentare di infettarle, stai correndo un bel rischio ciao

Strumenti
Mostra una versione stampabile Invia questa pagina per email