Re: [GTER] Invasão

Antonio Carlos Pina apina at infolink.com.br
Wed Nov 3 12:08:58 -02 2004 

Sugiro baixar e instalar o TDS 3.
Aqui: http://tds.diamondcs.com.au/

Cordialmente,
Antonio Carlos Pina
Diretor de Tecnologia
INFOLINK Internet
http://www.infolink.com.br
----- Original Message ----- 
From: "Fernando Lima" <fgsilva at unisys.com.br>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Sent: Wednesday, November 03, 2004 10:39 AM
Subject: Re: [GTER] Invasão


At 09:20 03/11/04, you wrote:

Olá,

Tentar identificar o backdoor pelo nome não é uma boa ideia !

O processo hbsrv.exe no google aponta para um adware.

Sugiro que você mande o arquivo para www.virustotal.com. Este site irá
testar o arquivo usando diversos antivirus. Talvez algum identifique o real
backdoor.

Examine todas as pastas (Se tiver algo) do Outlook do usuário a procura de
emails suspeitos.

Examine o histórico do browser do usuário por sites suspeitos.

Rode um netstat -na na máquina para saber se tem algum processo listening
suspeito.

Examine o event viewer na máquina por entradas suspeitas.

Procure por diretórios fora do padrão na estação e examine os arquivos.

Filtre no log do seu firewall por toda comunicação de/para esta estação no
dia da fraude e nos dias posteriores.

Olhe no task manager os processos rodando e veja se encontra algum processo
suspeito.

Procure por logs de todo e qualquer programa que possa ser usado para
acesso a Internet (IM, ftp, irc...) ;-)))

Abra todos os programas suspeitos que você encontrar com um hexedit e
procure por strings que possam levar ao verdadeiro nome do programa. Use e
abuse do google !!!

Junte o quebra-cabeça acima e tente chegar a alguma conclusão.

Boa sorte.



>Bom dia a todos,
>Bem, eu sou novo na lista e também na area de segurança, mas gostaria de
>um ajuda de todos.
>Bem semana passada tivemos noticia que uma funcionária foi vitima de uma
>fraude bancária, segundo o banco a fraude foi feita pela internet, mas
segundo
>a usuária o unico local onde ela faz a consulta bancária é na empresa.
>Bom gostaria de saber se há alguma forma de descobrir como e por onde
entrou
>o back-door, já que temos firewall muito bem configurado, e também se há
>alguma forma de seguir essa forma de invasão.
>Obs. segundo o banco existe um back chamados hbsrv.exe, e ele realmente
>estava na máquina da usuária.
>
>Agradeço a todos
>
>Atenciosamente
>
>
>Cássio Noronha
>"O difícil e aprender a ler, o resto está escrito".
>
>
>------------------------------------------
>Use o melhor sistema de busca da Internet
>Radar UOL - http://www.radaruol.com.br
>
>
>
>--
>GTER list    https://eng.registro.br/mailman/listinfo/gter

--
GTER list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list