Re: [GTER] Invasão
Antonio Carlos Pina
apina at infolink.com.br
Wed Nov 3 12:08:58 -02 2004
Sugiro baixar e instalar o TDS 3.
Aqui: http://tds.diamondcs.com.au/
Cordialmente,
Antonio Carlos Pina
Diretor de Tecnologia
INFOLINK Internet
http://www.infolink.com.br
----- Original Message -----
From: "Fernando Lima" <fgsilva at unisys.com.br>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Sent: Wednesday, November 03, 2004 10:39 AM
Subject: Re: [GTER] Invasão
At 09:20 03/11/04, you wrote:
Olá,
Tentar identificar o backdoor pelo nome não é uma boa ideia !
O processo hbsrv.exe no google aponta para um adware.
Sugiro que você mande o arquivo para www.virustotal.com. Este site irá
testar o arquivo usando diversos antivirus. Talvez algum identifique o real
backdoor.
Examine todas as pastas (Se tiver algo) do Outlook do usuário a procura de
emails suspeitos.
Examine o histórico do browser do usuário por sites suspeitos.
Rode um netstat -na na máquina para saber se tem algum processo listening
suspeito.
Examine o event viewer na máquina por entradas suspeitas.
Procure por diretórios fora do padrão na estação e examine os arquivos.
Filtre no log do seu firewall por toda comunicação de/para esta estação no
dia da fraude e nos dias posteriores.
Olhe no task manager os processos rodando e veja se encontra algum processo
suspeito.
Procure por logs de todo e qualquer programa que possa ser usado para
acesso a Internet (IM, ftp, irc...) ;-)))
Abra todos os programas suspeitos que você encontrar com um hexedit e
procure por strings que possam levar ao verdadeiro nome do programa. Use e
abuse do google !!!
Junte o quebra-cabeça acima e tente chegar a alguma conclusão.
Boa sorte.
>Bom dia a todos,
>Bem, eu sou novo na lista e também na area de segurança, mas gostaria de
>um ajuda de todos.
>Bem semana passada tivemos noticia que uma funcionária foi vitima de uma
>fraude bancária, segundo o banco a fraude foi feita pela internet, mas
segundo
>a usuária o unico local onde ela faz a consulta bancária é na empresa.
>Bom gostaria de saber se há alguma forma de descobrir como e por onde
entrou
>o back-door, já que temos firewall muito bem configurado, e também se há
>alguma forma de seguir essa forma de invasão.
>Obs. segundo o banco existe um back chamados hbsrv.exe, e ele realmente
>estava na máquina da usuária.
>
>Agradeço a todos
>
>Atenciosamente
>
>
>Cássio Noronha
>"O difícil e aprender a ler, o resto está escrito".
>
>
>------------------------------------------
>Use o melhor sistema de busca da Internet
>Radar UOL - http://www.radaruol.com.br
>
>
>
>--
>GTER list https://eng.registro.br/mailman/listinfo/gter
--
GTER list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list