Author: smorico Date: To: jlm_devel CC: guilde Subject: Re: tracer un vers via un NAT?
jlm_devel a écrit : > je suis d'accord pour le fonctionnement des vers... mais je ne pense
> pas que les gas soient vraiment aussi callés.... ce qui m'a mis la
> puce à l'oreille c'est qu'ils ont laissé le pc mais embarqué les
> cocottes minutes.... y'a quand mm un écran plat et pas mal de
> disque.... c'est comme s'ils avaient volontairement laissé le pc.... -> louche ! > je pense pas forcément à un vers mais plus à un keylogger..... ils ont
> du voir que sur le disque il n'y avait rien d'intéressant.... et se
> sont dit qu'il serait intéressant de retrouver les numéros de CB par
> ex.....
> quoiqu'il en soit... il me faut au moins les logs des trames pour
> après analyser en fonction du ver/keylogger..... aussi bien je
> tomberai sur quelquechose d'intéressant.... Personnellement je commencerais par faire une investigation plus simple
pour savoir d'ou vient le ver... et... si ver il y a...
De plus les keyloguers ne transmettent souvent que lors d'actions bien
spécifiques sur le poste utilisateur !! > le ver s'il y en a un a été installé pendant l'effraction Pourquoi ? le PC était éteint et tu l'as trouvé allumé ? (rire...)
ou... la souris, que tu laisses toujours collée au clavier ne l'était
plus ?? :D
Fait une recherche sur le disque pour regarder les dates de modif/d'accès !!
Y a t il eu des fichiers modifiés PENDANT ton absence à l'heure estimée
de l'effraction ?? (bien que la date de modif puisse être falsifiée...
ça peut être une info pertinente) > car j'ai fait attention aux attaques reseau lors de la mise en
> place... je n'avais cependant pas prévu une intrusion physique.... ATTENTION : es-tu sûr d'être protégé au niveau applicatif !?
En effet il faut bien garder à l'esprit que la plupart des "attaques"
sont réalisées au niveau applicatif lorsque tu *utilises* internet !!
(niveau 7)
Ton navigateur internet est il a jour ? Ton client Mail ? IRC ?
Es tu sûr d'utiliser Firefox ????? ! :p
(NOTE : Pour avoir dévirolé pas mal de PC Windows, je dirais que 'mirc'
est un excellent... propagateur de trojan ^^)
A moins que tu n'utilises un IDPS en mode coupure et des
applications/librairies "sécurisées", ...je doute que tes précautions
soient suffisantes !! > vu le cambriolage (ils n'ont pas reussi à ouvrir le portaille
> automatique alors que c'est pas difficile à faire) cela ne m'étonnerai
> pas que ce soit une bande de jeunes.... en tout cas c'est pas des gas
> expériementés.... sinon il n'y aurait meme pas les meubles... Et si ce n'était pas "une bande de jeune" ???
ça me fait penser au film "Ennemi d'état" cette affaire...
Il n'auraient pas peint ton chien en vert par hasard ??
Je suis sûr que des agents spéciaux ont infiltré ton PC !
Dans ce cas, ils ont intérêt à faire croire qu'il s'agit d'une bande de
jeune... d'ou le vol de cocotte minutes...