xDSL.at

[HerbertF]

Hallo

seit einigen Tagen alamiert meine Firewall regelmäßig einen "Angriff" von Backdoor/Subseven. Kann sich die Norton Firewall da irren oder ist der Versuch "echt" ? Was mach ich in so einem Fall ? Ich habe die IP des Computers.........

Dank und Gruß
Herbert

[Manuel Capellari]

besorg dir ein aktuelles antivirenprogramm, ein solches sollte die gängigsten trojaner-clients erkennen

[Putin]

SubSeven ist ein Trojanisches Pferd, das ähnlich wie BackOrifice oder NetBus arbeitet. Besitzt ein Angreifer die Client Version, so hat er vollen Zugriff auf einen entfernten Rechner, auf dem die Server-Version installiert ist.

SubSeven wurde im Mai 1999 entdeckt. Es ist das komplexeste Hintertür-Programm (Backdoor), das derzeit im Umlauf ist. Es wurde zunächst über Newsgruppen und durch E-Mail mit dem Namen SERVER.EXE verbreitet. Die ersten Versionen waren mit üblichen Programmen gepackt, so daß sie noch von vielen Anti-Viren-Programmen entdeckt werden konnten. Die neueren Versionen dieses Trojanischen Pferdes sind mit WIN32 Aspack, UPX und anderen wenig gebräuchlichen Programmen komprimiert, um die Entdeckung zu erschweren.

Bei Aufruf von SubSeven kopiert sich das Programm selbst in das Windows-Verzeichnis und erhält entweder den Namen des aufgerufenen Programms oder z.B. SERVER.EXE, KERNEL16.DLL, RUNDLL16.COM, SYSTEMTRAYICON!.EXE oder WINOW.EXE. Anschließend wird noch eine Datei mit einem der Namen WATCHING.DLL, FAVNMCFEE.DLL, MVOKH32.DLL oder nodll.dll im Verzeichnis WindowsSystem gespeichert. Während der Installation kann die Meldung "Error Out of system resources" erscheinen

Das Trojanische Pferd läuft als unsichtbarer Task, der zwar im Speicher vorhanden ist, aber in der Task-Leiste nicht angezeigt wird, wie das bei normalen Anwendungen der Fall ist.

SubSeven manipuliert die Registry derart, daß das Programm mit jedem der Namen aufgerufen werden kannen. Dazu können einige Registry- Einträge oder die Dateien WIN.INI bzw SYSTEM.INI verändert werden.


Zum Ausspionieren werden TCP/IP-Verbindungen überwacht, bzw. belauscht. Die verwendeten Ports sind konfigurierbar. Ferner wird versucht ICQ, IRC und unterschiedliche Mail-Accounts zu verwenden, um zu prüfen, ob ein "Opfer" online ist.

SubSeven besitzt 113 Funktionen, z.B. Restart Windows, Hide Mouse Pointer, Change Date usw.

[Deimos]

Die Meldung die du bekommst bedeutet, dass dein Rechner von einem fremden Computer mit dem entsprechenden Server des Trojaners gescanned wird. (Ein Portscan um festzustellen, ob auf deinem Computer ein Trojaner Client läuft). Es bedeutet nicht, dass auf deinem Rechner ein Client läuft.
Die Norton "Firewall" meldet den Scan und sperrt die IP des Angreifers für 30 Minuten.

[christian]

das ist falsch rum auf deimem pc ist der server und auf dem angreifer ist der klient

[quay]

>Die Meldung die du bekommst bedeutet, dass dein Rechner von einem fremden >Computer mit dem entsprechenden Server des Trojaners gescanned wird. (Ein >Portscan um festzustellen, ob auf deinem Computer ein Trojaner Client läuft). Es >bedeutet nicht, dass auf deinem Rechner ein Client läuft.

Tausche die beiden Wörter Client und Server miteinander aus und dein Satz ist richtig

--qu

[Manuel Capellari]

is wohl meine schuld, da ich in meinem posting statt server client geschrieben hab *g*

also ... nachträgliche korrektur s/client/server/g

[Schorsch3]

Wenn Du derartige Attacken hast, schau im Log File nach und schicke die IP Adressen (inkl. dem Text der Firewall - also mit PortNr., Datum und Uhrzeit) an [email protected]. Ich hatte auch mal solche Probleme und nach einiger Zeit war dann vorerst wieder Ruhe...

Schorsch3

PS: Ganz verhindern kannst Du die Scans durch das Melden natürlich nicht, aber offenbar hilft es zumindest kurzfristig.

[Manuel Capellari]

>PS: Ganz verhindern kannst Du die Scans durch das Melden natürlich nicht, aber offenbar hilft es zumindest kurzfristig.

... wobei sich die frage stellt:
...wie verhindere ich einen portscan?

[Flanders]

>... wobei sich die frage stellt:
>...wie verhindere ich einen portscan?

Telefonkabel abklemmen?

[SemtexKG]

Warum an abuse?

Portscans sind erlaubt! Lest es nach wenn ihr es ned glaubt

[HerbertF]

Vielen Dankl für die Erläuterung. Habe mein System nach dem von Putin beschriebenen System abgesucht; aber nichts davon gefunden. Ein aktueller Virenscanner läuft natürlich auch und meldete nichts von einem Trojaner.So gesehen wird wohl nur jemand versuchen, bei mir "Anschluss" zu finden.

Merkt die Post nichts davon, wenn jemand in ihrem Netz gezielt Portscan´s macht ?

Gruß und "beruhigten" Dank

HF

[quay]

Sicher werden sies bemerken - aber wenn die gegen jeden Kunden der portscans durchführt was unternehmen würden, hättens wohl den ganzen Tag nichts anderes zu tun *g*

Obwohl - so wies manchmal aussieht tun die eh den ganzen Tag nix.......*gggg*

--qu

[Gerhard]

@Schorsch3 & SemtexKG:


1) Ein einzelner Portscan allein ist keine feindliche Handlung. Er fragt ja nur, welche Services auf dem betreffenden Rechner angeboten werden.
(Wenn allerdings NUR Trojaner-Ports gescannt werden, muß man wohl böse Absichten unterstellen.)


2) Permanente Portscans schlucken Bandbreite und könnten damit bereits als feindliche Handlung angesehen werden.


Schöne Grüße,
Gerhard


P.S.: Ich habe gehört (keine Ahnung welche Voraussetzungen dafür gelten müssen), daß für Angriffe fremde IP-Adressen mißbraucht werden können (um zu verhindern, daß der Angreifer selbst Probleme bekommt, wenn sich der gescannte Benutzer beim Internet-Provider beschwert, so wie es Schorsch3 vorschlägt).


Wenn jemand näheres dazu weiß, wäre es nett, wenn er es hier posten würde.
Keine Anleitung! Nur die nötigen Voraussetzungen: Man-in-the-middle, ...???

[Schorsch3]

@Gerhard:
ad 1) Die Norton Firewall meldet nur Trojanerportscans mit Hilfe eines eigenen Symbols in der Taskzeile. Daher unterstelle ich jedem der einen derartigen Scan macht potentiell böses (vor allem wenn wiederholt die selbe IP auftaucht)

@HerbertF: Die Telekom unternimmt solange nichts, bis sich jemand über den Scan beschwert. Daher solltest Du wiederholte Attacken schlicht und einfach melden.

@SemTexKG: Backdoor/Subseven ist klar als Trojaner klassifiziert und dient zum Ausspionieren des Rechners und zur Nutzung für DoS Attacken. Daher kann man im Gegensatz zu einem normalen Portscan kaum von einer "erlaubten Handlung" sprechen.