Re: [GTER] Invasão

Fernando Lima fgsilva at unisys.com.br
Wed Nov 3 10:39:43 -02 2004 

At 09:20 03/11/04, you wrote:

Olá,

Tentar identificar o backdoor pelo nome não é uma boa ideia !

O processo hbsrv.exe no google aponta para um adware.

Sugiro que você mande o arquivo para www.virustotal.com. Este site irá 
testar o arquivo usando diversos antivirus. Talvez algum identifique o real 
backdoor.

Examine todas as pastas (Se tiver algo) do Outlook do usuário a procura de 
emails suspeitos.

Examine o histórico do browser do usuário por sites suspeitos.

Rode um netstat -na na máquina para saber se tem algum processo listening 
suspeito.

Examine o event viewer na máquina por entradas suspeitas.

Procure por diretórios fora do padrão na estação e examine os arquivos.

Filtre no log do seu firewall por toda comunicação de/para esta estação no 
dia da fraude e nos dias posteriores.

Olhe no task manager os processos rodando e veja se encontra algum processo 
suspeito.

Procure por logs de todo e qualquer programa que possa ser usado para 
acesso a Internet (IM, ftp, irc...) ;-)))

Abra todos os programas suspeitos que você encontrar com um hexedit e 
procure por strings que possam levar ao verdadeiro nome do programa. Use e 
abuse do google !!!

Junte o quebra-cabeça acima e tente chegar a alguma conclusão.

Boa sorte.



>Bom dia a todos,
>Bem, eu sou novo na lista e também na area de segurança, mas gostaria de
>um ajuda de todos.
>Bem semana passada tivemos noticia que uma funcionária foi vitima de uma
>fraude bancária, segundo o banco a fraude foi feita pela internet, mas segundo
>a usuária o unico local onde ela faz a consulta bancária é na empresa.
>Bom gostaria de saber se há alguma forma de descobrir como e por onde entrou
>o back-door, já que temos firewall muito bem configurado, e também se há
>alguma forma de seguir essa forma de invasão.
>Obs. segundo o banco existe um back chamados hbsrv.exe, e ele realmente
>estava na máquina da usuária.
>
>Agradeço a todos
>
>Atenciosamente
>
>
>Cássio Noronha
>"O difícil e aprender a ler, o resto está escrito".
>
>
>------------------------------------------
>Use o melhor sistema de busca da Internet
>Radar UOL - http://www.radaruol.com.br
>
>
>
>--
>GTER list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list