Trojaner..............soetwas mag ich ja nun garnicht! - 500 Beiträge pro Seite

Junge, Junge!
Man wird ja ständig angebimmelt, wenn man im WWW surft,
aber sobald man bei
http://www.wallstreet-online.de/index.php
eingeloggt ist versuchen auffällig viele Trojaner, meinen Rechner zu "beschießen", eine feindliche Übernahme wird hier probiert, wenn man so will


Da ich dieses Problem bereits von anderen WO-Usern geschildert bekommen habe, schlage ich vor, hier mal die entsprechenden IP-Nummern bekannt zu machen, die versuchen in die Rechner zu gelangen, sollte es hier zu auffälligen Übereinstimmungen kommen, kann man ja mal den Verursacher ausfindig machen...

Ich fange mal an:
217.3.161.67

hahaha

KK

Kläuschen,

dies könnte WIM D. sein, weil du für den Bereich 1.075/ 1,08 Euro-Puts empfohlen hast!
Ich denke, das ist in seinem Sinne noch zu früh!

hahaha

H-T

wie kann ich die abwehren.....
ein ängstlich fragender KI

habe die letzten 3 Wochen ungelogen meinen PC 16 mal formatiert

jetzt läuft alles, nun diese Horrormeldung

NetBus - Backdoor für Windows 95/98 und Windows NT
Die "NetBus-Story" - eine Einleitung
NetBus ist ein Trojanisches Pferd ("Trojan Horse"), das in seiner Funktionalität "Back Orifice"entspricht, also eine Hintertüre ("Backdoor") öffnet, über die man via Netzwerk unbemerkt auf den Rechner zugreifen kann. NetBusist allerdings wesentlich bedienerfreundlicher und mächtiger als Back Orifice. Es wurde von dem Schweden Carl-Fredrik Neikter geschrieben, der die erste Version Mitte März 1998 veröffentlichte. Derzeit liegt das Programm in den Versionen 1.60, 1.70 und als NetBus 2.0 Pro vor. Alle Angaben dieser Seite beziehen sich - falls nicht anders angegeben - auf diese Versionen.

NetBus - Eigenschaften und Funktionsweise
NetBus besteht aus einem Client- ("netbus.exe") und einem Server-Programm (häufig: "patch.exe", bei Version 1.5x: "SysEdit.exe"), welches zur "Verwaltung" von Remote Rechnern eingesetzt werden kann. Version 1.60 arbeitet über den fest eingestellten TCP/UDP-Port "12345", ab Version 1.70 ist dieser variabel konfigurierbar.

NetBus 1.60 hat u.a. folgende Funktionalitäten:
Aufzeichnen von Tastatureingaben
Einschalten eines "Key-Clicks" und Abschalten bestimmter Zeichen
Maus-Steuerung (incl. Vertauschen von rechter und linker Maus-Taste)
Öffnen und Schließen der CD-ROM (ggf. in automatisch in Intervallen)
Generieren von "Fehler-", "Warn-" und "Info-Meldungen" (mit Anzeige der "Antwort")
Starten von Anwendungen
Anspringen von Web-Seiten (URLs)
Erstellen eines Bildschirm-Dumps (als BMP oder JPG)
Abspielen von wav-Dateien
Aufnahmen über ein angschlossenes Microphon
Manipulationen am Filesystem, wie z.B.
Kopieren
Löschen
Umbenennen
Suchen
Up- und Download von Files
Anzeigen und Schließen aller geöffneten Fenster
Auslesen von Systeminformationen
Rebooten des Rechners


Desweiteren kann von dem Remote-Rechner der Zugang zum Server über ein Password gesichert werden; außerdem ist ein De-Install ("Remove") des Servers über das Netzwerk möglich.

"NetBus 1.70" hat darüberhinaus folgende Funktionen:
Redirekt von Ports und Rechner
Redirekt der Ein-/ Ausgabe von Applikationen an einen definierbaren TCP/UDP-Port
Portscanner, der aktive NetBus-Ports auf über einen vorgegebenen Adreßbereich findet
Möglichkeit, Zugang auf vorgegebene Adressen zu beschränken


Weitere Informationen über Funktionalitäten und Installationsoptionen finden Sie in der engl. Orginalbeschreibung des Autors getrennt für Version 1.60 und Version 1.70.


NetBus erkennen und Gegenmaßnahmen ergreifen
Das Netbus-Server-Programm (kurz: NetBus Server) ist i.a. im System-Directory zu finden, so daß es beim Starten des Rechners automatisch gestartet wird (also: "win95" bzw. "winnt"). Der Name des Files kann variieren; der Default-Wert von Netbus 1.60 ist "patch.exe", von "Netbus 1.5x" "SysEdit.exe"; bei der Installation über das "Spiel" "whackamole.exe" (beinhaltet den Server von NetBus 1.53) wird auch der Name "explore.exe" verwendet. Inzwischen gibt es auch whackjob17.zip, das die Version 1.70 beinhaltet und den Port 12631 nutzt. Außerdem ist der Zugang durch Password geschützt (PW: "ecoli"). Der NetBus Server wird während der Setup-Routine des Spiels durch das File "game.exe" installiert; der eigentliche Server heißt wieder "explore.exe" und befindet sich im Windows-Hauptverzeichnis.
Erkennbar sind alle Module - normalerweise - an ihrem Icon .
Zum automatischen Starten wird ein Eintrag in der Registry angelegt; der zugehörige Schlüssel ist: "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun". Der entsprechende Eintrag ist i.a. mit der Option "/nomsg" versehen. Wird dieser Eintrag gelöscht, wird der NetBus-Server nicht mehr automatisch beim Hochfahren des Rechners gestartet.
Desweiteren wird noch eine DLL installiert, die alleine zwar keinen Schaden anrichten kann, dennoch gelöscht werden sollte; sie kann u.U. als auch Indiz für die Existenz des Netbus-Servers angesehen werden (wenngleich auch einige unsaubere Installationen diese Datei vergessen. Ihr Name: "KeyHook.dll"; sie dient u.a. dazu, die Tastatureingabe zu loggen und an den Client zu übertragen.

Das Entfernen des NetBus Servers geht auch automatisch über das Client-Programm selbst (das Sie ja hier downloaden können). Wählen sie hierzu bitte den Punkt "Server Admin" - "Remove Server" Sie können auf diese Weise natürlich auch den Server auf Ihrem eigenen Rechner deinstallieren. Wenn sich das Client und das Server-Programm auf demselben Rechner befinden, müssen Sie als Rechner-Name nur "localhost" oder die IP-Adresse 127.0.0.1 eingeben.

NetBus (bis Version 1.70) wird, nach einem Test von Sniper, auch von Norton Antivirus Version 4.0 mit "AVP engine 3.0" und "F-Prot Engine 3.0 (August Update)" erkannt und beseitigt.

hahaha

KK

SubSeven 1.7
Im Umlauf seit ca.
seit ca. März 1999 (die vorliegende Version)
Filegröße ZIP/EXE
Server: 246 KB / Client: 305 KB

Mögliche Programm-Icone


Eintragung zwecks Autorun bei Systemstart
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunSysTrayIcon.Exe

Mögliche Verzeichnisse, wo auffindbar
C:Windows

Beschreibung
Dieses ist noch ein recht neuer Trojaner. - Es handelt sich um ein Server-Programm (wie NetBus/Back Orifice etc.). - Das Programm besteht aus dem Clienten mit der Bezeichnung "SubSeven" (Größe: 305 KB) und dem Server, der der eigentliche Trojaner ist (Größe: 246 KB). Der Server trägt das Icon einer Setup-Datei. - Nach Start wird eine Kopie unter dem Namen "SysTryIcon.Exe" im Windows-Ordner angelegt. Desweiteren ein Ini-File, der vermutlich dazu dient, Daten (insbesondere Passwörter) darin abzuspeichern. Ausserdem wird eine Eintragung in der Registrierung unter dem Pfad: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunSysTrayIcon.Exe angelegt. Jedoch gibt es auch Meldungen, dass dieses Programm sich in die Win.ini unter "load=" oder "run=" eintragen kann. Dieses kann zuvor von der Person, die das Programm verbreiten will, eingestellt werden. Somit ist gewaehrleistet, dass der Trojaner im Hintergrund beim booten des Systems mitgestartet wird. Ein befallender Computer mit Sub7 kann mit Hilfe des Clienten unter voller Kontrolle gebracht werden.

Besonderheiten
Oben genannte Icone und Programmnamen zwecks Tarnung können abweichen. - Schwer erkennbar !

Entfernung
Eintrag in der Registrierung bzw. Win.ini löschen, Windows neu starten, "SysTrayIconExe" und den genannten ini-File aus dem Windows- Ordner löschen.

hahaha

KK

Weiteres unter: http://www.trojaner-info.de

Hallo ihr trojanerverseuchten Kerle

Ein paar kleine Tips:

Sygate Personal Firewall http://soho.sygate.com/

Tiny Personal Firewall http://www.tinysoftware.com

Zonealarm http://www.zonelabs.com


Das dürfte Eindringlinge erst mal eine Weile beschäftigen, zur weiteren Bekämpfung von Trojaner, Dialern etc. empfehle ich http://www.trojaner-info.de



Grüße

Mila

naja, ZONElabs ist besser als garnichts!

Aber ich würde dann eher auf NORTON INTERNET Security o.ä. zurückgreifen, funzt prima!



hahaha

KK