Trojaner..............soetwas mag ich ja nun garnicht! - 500 Beiträge pro Seite
eröffnet am 27.12.02 17:32:18 von
neuester Beitrag 27.12.02 18:07:46 von
neuester Beitrag 27.12.02 18:07:46 von
Beiträge: 7
ID: 677.468
ID: 677.468
Aufrufe heute: 0
Gesamt: 431
Gesamt: 431
Aktive User: 0
Top-Diskussionen
Titel | letzter Beitrag | Aufrufe |
---|---|---|
vor 32 Minuten | 972 | |
vor 39 Minuten | 884 | |
heute 01:03 | 875 | |
20.04.24, 12:11 | 681 | |
vor 50 Minuten | 514 | |
vor 31 Minuten | 431 | |
vor 29 Minuten | 366 | |
gestern 22:37 | 337 |
Meistdiskutierte Wertpapiere
Platz | vorher | Wertpapier | Kurs | Perf. % | Anzahl | ||
---|---|---|---|---|---|---|---|
1. | 1. | 18.018,50 | +0,46 | 208 | |||
2. | 2. | 132,92 | -0,26 | 128 | |||
3. | 3. | 2.304,53 | -0,98 | 81 | |||
4. | 4. | 6,9000 | +0,03 | 71 | |||
5. | 5. | 677,90 | +0,64 | 52 | |||
6. | 19. | 0,2030 | +11,54 | 44 | |||
7. | 6. | 3,7250 | +0,13 | 40 | |||
8. | 8. | 2,3320 | -0,04 | 36 |
Junge, Junge!
Man wird ja ständig angebimmelt, wenn man im WWW surft,
aber sobald man bei
http://www.wallstreet-online.de/index.php
eingeloggt ist versuchen auffällig viele Trojaner, meinen Rechner zu "beschießen", eine feindliche Übernahme wird hier probiert, wenn man so will
Da ich dieses Problem bereits von anderen WO-Usern geschildert bekommen habe, schlage ich vor, hier mal die entsprechenden IP-Nummern bekannt zu machen, die versuchen in die Rechner zu gelangen, sollte es hier zu auffälligen Übereinstimmungen kommen, kann man ja mal den Verursacher ausfindig machen...
Ich fange mal an:
217.3.161.67
hahaha
KK
Man wird ja ständig angebimmelt, wenn man im WWW surft,
aber sobald man bei
http://www.wallstreet-online.de/index.php
eingeloggt ist versuchen auffällig viele Trojaner, meinen Rechner zu "beschießen", eine feindliche Übernahme wird hier probiert, wenn man so will
Da ich dieses Problem bereits von anderen WO-Usern geschildert bekommen habe, schlage ich vor, hier mal die entsprechenden IP-Nummern bekannt zu machen, die versuchen in die Rechner zu gelangen, sollte es hier zu auffälligen Übereinstimmungen kommen, kann man ja mal den Verursacher ausfindig machen...
Ich fange mal an:
217.3.161.67
hahaha
KK
Kläuschen,
dies könnte WIM D. sein, weil du für den Bereich 1.075/ 1,08 Euro-Puts empfohlen hast!
Ich denke, das ist in seinem Sinne noch zu früh!
hahaha
H-T
dies könnte WIM D. sein, weil du für den Bereich 1.075/ 1,08 Euro-Puts empfohlen hast!
Ich denke, das ist in seinem Sinne noch zu früh!
hahaha
H-T
wie kann ich die abwehren.....
ein ängstlich fragender KI
habe die letzten 3 Wochen ungelogen meinen PC 16 mal formatiert
jetzt läuft alles, nun diese Horrormeldung
NetBus - Backdoor für Windows 95/98 und Windows NT
Die "NetBus-Story" - eine Einleitung
NetBus ist ein Trojanisches Pferd ("Trojan Horse"), das in seiner Funktionalität "Back Orifice"entspricht, also eine Hintertüre ("Backdoor") öffnet, über die man via Netzwerk unbemerkt auf den Rechner zugreifen kann. NetBusist allerdings wesentlich bedienerfreundlicher und mächtiger als Back Orifice. Es wurde von dem Schweden Carl-Fredrik Neikter geschrieben, der die erste Version Mitte März 1998 veröffentlichte. Derzeit liegt das Programm in den Versionen 1.60, 1.70 und als NetBus 2.0 Pro vor. Alle Angaben dieser Seite beziehen sich - falls nicht anders angegeben - auf diese Versionen.
NetBus - Eigenschaften und Funktionsweise
NetBus besteht aus einem Client- ("netbus.exe") und einem Server-Programm (häufig: "patch.exe", bei Version 1.5x: "SysEdit.exe"), welches zur "Verwaltung" von Remote Rechnern eingesetzt werden kann. Version 1.60 arbeitet über den fest eingestellten TCP/UDP-Port "12345", ab Version 1.70 ist dieser variabel konfigurierbar.
NetBus 1.60 hat u.a. folgende Funktionalitäten:
Aufzeichnen von Tastatureingaben
Einschalten eines "Key-Clicks" und Abschalten bestimmter Zeichen
Maus-Steuerung (incl. Vertauschen von rechter und linker Maus-Taste)
Öffnen und Schließen der CD-ROM (ggf. in automatisch in Intervallen)
Generieren von "Fehler-", "Warn-" und "Info-Meldungen" (mit Anzeige der "Antwort")
Starten von Anwendungen
Anspringen von Web-Seiten (URLs)
Erstellen eines Bildschirm-Dumps (als BMP oder JPG)
Abspielen von wav-Dateien
Aufnahmen über ein angschlossenes Microphon
Manipulationen am Filesystem, wie z.B.
Kopieren
Löschen
Umbenennen
Suchen
Up- und Download von Files
Anzeigen und Schließen aller geöffneten Fenster
Auslesen von Systeminformationen
Rebooten des Rechners
Desweiteren kann von dem Remote-Rechner der Zugang zum Server über ein Password gesichert werden; außerdem ist ein De-Install ("Remove") des Servers über das Netzwerk möglich.
"NetBus 1.70" hat darüberhinaus folgende Funktionen:
Redirekt von Ports und Rechner
Redirekt der Ein-/ Ausgabe von Applikationen an einen definierbaren TCP/UDP-Port
Portscanner, der aktive NetBus-Ports auf über einen vorgegebenen Adreßbereich findet
Möglichkeit, Zugang auf vorgegebene Adressen zu beschränken
Weitere Informationen über Funktionalitäten und Installationsoptionen finden Sie in der engl. Orginalbeschreibung des Autors getrennt für Version 1.60 und Version 1.70.
NetBus erkennen und Gegenmaßnahmen ergreifen
Das Netbus-Server-Programm (kurz: NetBus Server) ist i.a. im System-Directory zu finden, so daß es beim Starten des Rechners automatisch gestartet wird (also: "win95" bzw. "winnt"). Der Name des Files kann variieren; der Default-Wert von Netbus 1.60 ist "patch.exe", von "Netbus 1.5x" "SysEdit.exe"; bei der Installation über das "Spiel" "whackamole.exe" (beinhaltet den Server von NetBus 1.53) wird auch der Name "explore.exe" verwendet. Inzwischen gibt es auch whackjob17.zip, das die Version 1.70 beinhaltet und den Port 12631 nutzt. Außerdem ist der Zugang durch Password geschützt (PW: "ecoli"). Der NetBus Server wird während der Setup-Routine des Spiels durch das File "game.exe" installiert; der eigentliche Server heißt wieder "explore.exe" und befindet sich im Windows-Hauptverzeichnis.
Erkennbar sind alle Module - normalerweise - an ihrem Icon .
Zum automatischen Starten wird ein Eintrag in der Registry angelegt; der zugehörige Schlüssel ist: "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun". Der entsprechende Eintrag ist i.a. mit der Option "/nomsg" versehen. Wird dieser Eintrag gelöscht, wird der NetBus-Server nicht mehr automatisch beim Hochfahren des Rechners gestartet.
Desweiteren wird noch eine DLL installiert, die alleine zwar keinen Schaden anrichten kann, dennoch gelöscht werden sollte; sie kann u.U. als auch Indiz für die Existenz des Netbus-Servers angesehen werden (wenngleich auch einige unsaubere Installationen diese Datei vergessen. Ihr Name: "KeyHook.dll"; sie dient u.a. dazu, die Tastatureingabe zu loggen und an den Client zu übertragen.
Das Entfernen des NetBus Servers geht auch automatisch über das Client-Programm selbst (das Sie ja hier downloaden können). Wählen sie hierzu bitte den Punkt "Server Admin" - "Remove Server" Sie können auf diese Weise natürlich auch den Server auf Ihrem eigenen Rechner deinstallieren. Wenn sich das Client und das Server-Programm auf demselben Rechner befinden, müssen Sie als Rechner-Name nur "localhost" oder die IP-Adresse 127.0.0.1 eingeben.
NetBus (bis Version 1.70) wird, nach einem Test von Sniper, auch von Norton Antivirus Version 4.0 mit "AVP engine 3.0" und "F-Prot Engine 3.0 (August Update)" erkannt und beseitigt.
hahaha
KK
SubSeven 1.7
Im Umlauf seit ca.
seit ca. März 1999 (die vorliegende Version)
Filegröße ZIP/EXE
Server: 246 KB / Client: 305 KB
Mögliche Programm-Icone
Eintragung zwecks Autorun bei Systemstart
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunSysTrayIcon.Exe
Mögliche Verzeichnisse, wo auffindbar
C:Windows
Beschreibung
Dieses ist noch ein recht neuer Trojaner. - Es handelt sich um ein Server-Programm (wie NetBus/Back Orifice etc.). - Das Programm besteht aus dem Clienten mit der Bezeichnung "SubSeven" (Größe: 305 KB) und dem Server, der der eigentliche Trojaner ist (Größe: 246 KB). Der Server trägt das Icon einer Setup-Datei. - Nach Start wird eine Kopie unter dem Namen "SysTryIcon.Exe" im Windows-Ordner angelegt. Desweiteren ein Ini-File, der vermutlich dazu dient, Daten (insbesondere Passwörter) darin abzuspeichern. Ausserdem wird eine Eintragung in der Registrierung unter dem Pfad: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunSysTrayIcon.Exe angelegt. Jedoch gibt es auch Meldungen, dass dieses Programm sich in die Win.ini unter "load=" oder "run=" eintragen kann. Dieses kann zuvor von der Person, die das Programm verbreiten will, eingestellt werden. Somit ist gewaehrleistet, dass der Trojaner im Hintergrund beim booten des Systems mitgestartet wird. Ein befallender Computer mit Sub7 kann mit Hilfe des Clienten unter voller Kontrolle gebracht werden.
Besonderheiten
Oben genannte Icone und Programmnamen zwecks Tarnung können abweichen. - Schwer erkennbar !
Entfernung
Eintrag in der Registrierung bzw. Win.ini löschen, Windows neu starten, "SysTrayIconExe" und den genannten ini-File aus dem Windows- Ordner löschen.
hahaha
KK
Weiteres unter: http://www.trojaner-info.de
Im Umlauf seit ca.
seit ca. März 1999 (die vorliegende Version)
Filegröße ZIP/EXE
Server: 246 KB / Client: 305 KB
Mögliche Programm-Icone
Eintragung zwecks Autorun bei Systemstart
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunSysTrayIcon.Exe
Mögliche Verzeichnisse, wo auffindbar
C:Windows
Beschreibung
Dieses ist noch ein recht neuer Trojaner. - Es handelt sich um ein Server-Programm (wie NetBus/Back Orifice etc.). - Das Programm besteht aus dem Clienten mit der Bezeichnung "SubSeven" (Größe: 305 KB) und dem Server, der der eigentliche Trojaner ist (Größe: 246 KB). Der Server trägt das Icon einer Setup-Datei. - Nach Start wird eine Kopie unter dem Namen "SysTryIcon.Exe" im Windows-Ordner angelegt. Desweiteren ein Ini-File, der vermutlich dazu dient, Daten (insbesondere Passwörter) darin abzuspeichern. Ausserdem wird eine Eintragung in der Registrierung unter dem Pfad: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunSysTrayIcon.Exe angelegt. Jedoch gibt es auch Meldungen, dass dieses Programm sich in die Win.ini unter "load=" oder "run=" eintragen kann. Dieses kann zuvor von der Person, die das Programm verbreiten will, eingestellt werden. Somit ist gewaehrleistet, dass der Trojaner im Hintergrund beim booten des Systems mitgestartet wird. Ein befallender Computer mit Sub7 kann mit Hilfe des Clienten unter voller Kontrolle gebracht werden.
Besonderheiten
Oben genannte Icone und Programmnamen zwecks Tarnung können abweichen. - Schwer erkennbar !
Entfernung
Eintrag in der Registrierung bzw. Win.ini löschen, Windows neu starten, "SysTrayIconExe" und den genannten ini-File aus dem Windows- Ordner löschen.
hahaha
KK
Weiteres unter: http://www.trojaner-info.de
Hallo ihr trojanerverseuchten Kerle
Ein paar kleine Tips:
Sygate Personal Firewall http://soho.sygate.com/
Tiny Personal Firewall http://www.tinysoftware.com
Zonealarm http://www.zonelabs.com
Das dürfte Eindringlinge erst mal eine Weile beschäftigen, zur weiteren Bekämpfung von Trojaner, Dialern etc. empfehle ich http://www.trojaner-info.de
Grüße
Mila
Ein paar kleine Tips:
Sygate Personal Firewall http://soho.sygate.com/
Tiny Personal Firewall http://www.tinysoftware.com
Zonealarm http://www.zonelabs.com
Das dürfte Eindringlinge erst mal eine Weile beschäftigen, zur weiteren Bekämpfung von Trojaner, Dialern etc. empfehle ich http://www.trojaner-info.de
Grüße
Mila
naja, ZONElabs ist besser als garnichts!
Aber ich würde dann eher auf NORTON INTERNET Security o.ä. zurückgreifen, funzt prima!
hahaha
KK
Aber ich würde dann eher auf NORTON INTERNET Security o.ä. zurückgreifen, funzt prima!
hahaha
KK
Beitrag zu dieser Diskussion schreiben
Zu dieser Diskussion können keine Beiträge mehr verfasst werden, da der letzte Beitrag vor mehr als zwei Jahren verfasst wurde und die Diskussion daraufhin archiviert wurde.
Bitte wenden Sie sich an feedback@wallstreet-online.de und erfragen Sie die Reaktivierung der Diskussion oder starten Sie eine neue Diskussion.
Meistdiskutiert
Wertpapier | Beiträge | |
---|---|---|
210 | ||
129 | ||
81 | ||
72 | ||
53 | ||
40 | ||
37 | ||
35 | ||
33 | ||
33 |
Wertpapier | Beiträge | |
---|---|---|
30 | ||
29 | ||
29 | ||
28 | ||
26 | ||
26 | ||
25 | ||
23 | ||
19 | ||
17 |