Attacke von Backdoor ?

Alle technisch orientierten Fragen und Diskussionen rund um Internet-Zugänge via ADSL und xDSL (alle DSL-basierenden Technologien).
Forumsregeln
Alle technisch orientierten Fragen und Diskussionen rund um Internet-Zugänge via ADSL und xDSL (alle DSL-basierenden Technologien).

Diskussionen ĂĽber Provider (deren Produkte und Dienstleistungen) werden im Bereich PROVIDER gefĂĽhrt.

Attacke von Backdoor ?

Beitragvon HerbertF » Mo 15 Apr, 2002 18:54

Hallo

seit einigen Tagen alamiert meine Firewall regelmäßig einen "Angriff" von Backdoor/Subseven. Kann sich die Norton Firewall da irren oder ist der Versuch "echt" ? Was mach ich in so einem Fall ? Ich habe die IP des Computers.........

Dank und GruĂź
Herbert
HerbertF
 

RE: Attacke von Backdoor ?

Beitragvon Manuel Capellari » Mo 15 Apr, 2002 18:57

besorg dir ein aktuelles antivirenprogramm, ein solches sollte die gängigsten trojaner-clients erkennen
Manuel Capellari
 

RE: Attacke von Backdoor ?

Beitragvon Putin » Mo 15 Apr, 2002 19:18

SubSeven ist ein Trojanisches Pferd, das ähnlich wie BackOrifice oder NetBus arbeitet. Besitzt ein Angreifer die Client Version, so hat er vollen Zugriff auf einen entfernten Rechner, auf dem die Server-Version installiert ist.

SubSeven wurde im Mai 1999 entdeckt. Es ist das komplexeste Hintertür-Programm (Backdoor), das derzeit im Umlauf ist. Es wurde zunächst über Newsgruppen und durch E-Mail mit dem Namen SERVER.EXE verbreitet. Die ersten Versionen waren mit üblichen Programmen gepackt, so daß sie noch von vielen Anti-Viren-Programmen entdeckt werden konnten. Die neueren Versionen dieses Trojanischen Pferdes sind mit WIN32 Aspack, UPX und anderen wenig gebräuchlichen Programmen komprimiert, um die Entdeckung zu erschweren.

Bei Aufruf von SubSeven kopiert sich das Programm selbst in das Windows-Verzeichnis und erhält entweder den Namen des aufgerufenen Programms oder z.B. SERVER.EXE, KERNEL16.DLL, RUNDLL16.COM, SYSTEMTRAYICON!.EXE oder WINOW.EXE. Anschließend wird noch eine Datei mit einem der Namen WATCHING.DLL, FAVNMCFEE.DLL, MVOKH32.DLL oder nodll.dll im Verzeichnis WindowsSystem gespeichert. Während der Installation kann die Meldung "Error Out of system resources" erscheinen

Das Trojanische Pferd läuft als unsichtbarer Task, der zwar im Speicher vorhanden ist, aber in der Task-Leiste nicht angezeigt wird, wie das bei normalen Anwendungen der Fall ist.

SubSeven manipuliert die Registry derart, daß das Programm mit jedem der Namen aufgerufen werden kannen. Dazu können einige Registry- Einträge oder die Dateien WIN.INI bzw SYSTEM.INI verändert werden.


Zum Ausspionieren werden TCP/IP-Verbindungen ĂĽberwacht, bzw. belauscht. Die verwendeten Ports sind konfigurierbar. Ferner wird versucht ICQ, IRC und unterschiedliche Mail-Accounts zu verwenden, um zu prĂĽfen, ob ein "Opfer" online ist.

SubSeven besitzt 113 Funktionen, z.B. Restart Windows, Hide Mouse Pointer, Change Date usw.
Putin
 

RE: Attacke von Backdoor ?

Beitragvon Deimos » Mo 15 Apr, 2002 20:12

Die Meldung die du bekommst bedeutet, dass dein Rechner von einem fremden Computer mit dem entsprechenden Server des Trojaners gescanned wird. (Ein Portscan um festzustellen, ob auf deinem Computer ein Trojaner Client läuft). Es bedeutet nicht, dass auf deinem Rechner ein Client läuft.
Die Norton "Firewall" meldet den Scan und sperrt die IP des Angreifers fĂĽr 30 Minuten.
Deimos
 

RE: Attacke von Backdoor ?

Beitragvon christian » Mo 15 Apr, 2002 20:29

das ist falsch rum auf deimem pc ist der server und auf dem angreifer ist der klient
christian
 

RE: Attacke von Backdoor ?

Beitragvon quay » Mo 15 Apr, 2002 20:31

>Die Meldung die du bekommst bedeutet, dass dein Rechner von einem fremden >Computer mit dem entsprechenden Server des Trojaners gescanned wird. (Ein >Portscan um festzustellen, ob auf deinem Computer ein Trojaner Client läuft). Es >bedeutet nicht, dass auf deinem Rechner ein Client läuft.

Tausche die beiden Wörter Client und Server miteinander aus und dein Satz ist richtig ;)

--qu
quay
 

RE: Attacke von Backdoor ?

Beitragvon Manuel Capellari » Mo 15 Apr, 2002 20:34

is wohl meine schuld, da ich in meinem posting statt server client geschrieben hab *g*

also ... nachträgliche korrektur s/client/server/g
Manuel Capellari
 

RE: Attacke von Backdoor ?

Beitragvon Schorsch3 » Mo 15 Apr, 2002 20:45

Wenn Du derartige Attacken hast, schau im Log File nach und schicke die IP Adressen (inkl. dem Text der Firewall - also mit PortNr., Datum und Uhrzeit) an [email protected]. Ich hatte auch mal solche Probleme und nach einiger Zeit war dann vorerst wieder Ruhe...

Schorsch3

PS: Ganz verhindern kannst Du die Scans durch das Melden natĂĽrlich nicht, aber offenbar hilft es zumindest kurzfristig.
Schorsch3
 

RE: Attacke von Backdoor ?

Beitragvon Manuel Capellari » Mo 15 Apr, 2002 20:55

>PS: Ganz verhindern kannst Du die Scans durch das Melden natĂĽrlich nicht, aber offenbar hilft es zumindest kurzfristig.

... wobei sich die frage stellt:
...wie verhindere ich einen portscan?
Manuel Capellari
 

RE: Attacke von Backdoor ?

Beitragvon Flanders » Mo 15 Apr, 2002 21:04

>... wobei sich die frage stellt:
>...wie verhindere ich einen portscan?

Telefonkabel abklemmen? ;-)
Flanders
 

RE: Attacke von Backdoor ?

Beitragvon SemtexKG » Di 16 Apr, 2002 06:32

Warum an abuse?

Portscans sind erlaubt! Lest es nach wenn ihr es ned glaubt
SemtexKG
 

RE: Attacke von Backdoor ?

Beitragvon HerbertF » Di 16 Apr, 2002 07:32

Vielen Dankl für die Erläuterung. Habe mein System nach dem von Putin beschriebenen System abgesucht; aber nichts davon gefunden. Ein aktueller Virenscanner läuft natürlich auch und meldete nichts von einem Trojaner.So gesehen wird wohl nur jemand versuchen, bei mir "Anschluss" zu finden.

Merkt die Post nichts davon, wenn jemand in ihrem Netz gezielt Portscan´s macht ?

GruĂź und "beruhigten" Dank

HF
HerbertF
 

RE: Attacke von Backdoor ?

Beitragvon quay » Di 16 Apr, 2002 08:51

Sicher werden sies bemerken - aber wenn die gegen jeden Kunden der portscans durchführt was unternehmen würden, hättens wohl den ganzen Tag nichts anderes zu tun *g*

Obwohl - so wies manchmal aussieht tun die eh den ganzen Tag nix.......*gggg*

--qu
quay
 

RE: Attacke von Backdoor ?

Beitragvon Gerhard » Di 16 Apr, 2002 09:43

@Schorsch3 & SemtexKG:


1) Ein einzelner Portscan allein ist keine feindliche Handlung. Er fragt ja nur, welche Services auf dem betreffenden Rechner angeboten werden.
(Wenn allerdings NUR Trojaner-Ports gescannt werden, muß man wohl böse Absichten unterstellen.)


2) Permanente Portscans schlucken Bandbreite und könnten damit bereits als feindliche Handlung angesehen werden.


Schöne Grüße,
Gerhard


P.S.: Ich habe gehört (keine Ahnung welche Voraussetzungen dafür gelten müssen), daß für Angriffe fremde IP-Adressen mißbraucht werden können (um zu verhindern, daß der Angreifer selbst Probleme bekommt, wenn sich der gescannte Benutzer beim Internet-Provider beschwert, so wie es Schorsch3 vorschlägt).


Wenn jemand näheres dazu weiß, wäre es nett, wenn er es hier posten würde.
Keine Anleitung! Nur die nötigen Voraussetzungen: Man-in-the-middle, ...???
Gerhard
 

RE: Attacke von Backdoor ?

Beitragvon Schorsch3 » Di 16 Apr, 2002 10:35

@Gerhard:
ad 1) Die Norton Firewall meldet nur Trojanerportscans mit Hilfe eines eigenen Symbols in der Taskzeile. Daher unterstelle ich jedem der einen derartigen Scan macht potentiell böses (vor allem wenn wiederholt die selbe IP auftaucht)

@HerbertF: Die Telekom unternimmt solange nichts, bis sich jemand ĂĽber den Scan beschwert. Daher solltest Du wiederholte Attacken schlicht und einfach melden.

@SemTexKG: Backdoor/Subseven ist klar als Trojaner klassifiziert und dient zum Ausspionieren des Rechners und zur Nutzung fĂĽr DoS Attacken. Daher kann man im Gegensatz zu einem normalen Portscan kaum von einer "erlaubten Handlung" sprechen.
Schorsch3
 

Nächste

ZurĂĽck zu ADSL & xDSL

Wer ist online?

Mitglieder in diesem Forum: Google [Bot] und 40 Gäste