Trojaner?

Anonym · 17. Dezember 2000 um 17:09

hallo,

ich bekomme in regelmässigen abständen im netz durch norton internet security folgende meldungen. kann mir mal einer veraten wie ich rausbekomme wer hinter diesen *angriffen* steckt?
und kennt jemand einen trojan check der auch unter win2000 läuft?

danke mike

17.12.2000 17:03:51 NDIS Filter Regel „Standard Hack ‚A‘ Tack blockieren“ blockierte (193.159.52.250,31789). Details:
Ankommendes UDP-Paket
Lokale Adresse, Dienst ist (193.159.52.250,31789)
Remote-Adresse, Dienst ist (149.225.156.178,31790)
Prozessname ist „N/A“

17.12.2000 17:00:35 NDIS Filter Regel „Standard Hack ‚A‘ Tack blockieren“ blockierte (193.159.52.250,31789). Details:
Ankommendes UDP-Paket
Lokale Adresse, Dienst ist (193.159.52.250,31789)
Remote-Adresse, Dienst ist (149.225.156.178,31790)
Prozessname ist „N/A“

17.12.2000 16:48:12 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (193.159.52.226,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (193.159.52.226,27374)
Remote-Adresse, Dienst ist (195.252.202.244,3375)
Prozessname ist „N/A“

17.12.2000 16:47:45 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (193.159.52.226,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (193.159.52.226,27374)
Remote-Adresse, Dienst ist (217.4.155.35,1238)
Prozessname ist „N/A“

17.12.2000 16:47:43 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (193.159.52.226,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (193.159.52.226,27374)
Remote-Adresse, Dienst ist (217.4.155.35,1238)
Prozessname ist „N/A“

17.12.2000 16:43:23 NDIS Filter Regel „Standard Ultor blockieren“ blockierte (193.159.52.226,1234). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (193.159.52.226,1234)
Remote-Adresse, Dienst ist (62.158.186.80,2241)
Prozessname ist „N/A“

17.12.2000 16:39:40 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (193.159.52.226,Backdoor-g-1). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (193.159.52.226,Backdoor-g-1)
Remote-Adresse, Dienst ist (212.6.71.81,2424)
Prozessname ist „N/A“

17.12.2000 16:37:48 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (193.159.52.226,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (193.159.52.226,27374)
Remote-Adresse, Dienst ist (62.155.198.6,4897)
Prozessname ist „N/A“

17.12.2000 16:25:45 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (62.156.42.238,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (62.156.42.238,27374)
Remote-Adresse, Dienst ist (62.180.210.141,1085)
Prozessname ist „N/A“

17.12.2000 16:25:43 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (62.156.42.238,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (62.156.42.238,27374)
Remote-Adresse, Dienst ist (62.180.210.141,1085)
Prozessname ist „N/A“

17.12.2000 15:43:32 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (win2000,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (win2000,27374)
Remote-Adresse, Dienst ist (62.54.192.239,2348)
Prozessname ist „N/A“

17.12.2000 15:43:29 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (win2000,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (win2000,27374)
Remote-Adresse, Dienst ist (62.54.192.239,2348)
Prozessname ist „N/A“
Info 17.12.2000 15:38:10 IP Filter Ankommende IP-Fragmente werden gerade blockiert
Info 17.12.2000 15:38:10 IP Filter NDIS-Filter ist aktiviert
Info 17.12.2000 15:38:10 NDIS Filter Interaktiver Lernmodus ist aktiviert
Info 17.12.2000 15:38:10 NDIS Filter Firewall-Konfiguration wurde aktualisiert: 105 Regeln
Info 11.12.2000 20:28:15 IP Filter Ankommende IP-Fragmente werden gerade blockiert
Info 11.12.2000 20:28:15 IP Filter NDIS-Filter ist aktiviert
Info 11.12.2000 20:28:15 NDIS Filter Interaktiver Lernmodus ist aktiviert
Info 11.12.2000 20:28:15 NDIS Filter Firewall-Konfiguration wurde aktualisiert: 105 Regeln
Info 07.12.2000 01:06:00 IP Filter Ankommende IP-Fragmente werden gerade blockiert
Info 07.12.2000 01:06:00 IP Filter NDIS-Filter ist aktiviert
Info 07.12.2000 01:06:00 NDIS Filter Interaktiver Lernmodus ist aktiviert
Info 07.12.2000 01:06:00 NDIS Filter Firewall-Konfiguration wurde aktualisiert: 105 Regeln
Info 06.12.2000 06:17:03 IP Filter Ankommende IP-Fragmente werden gerade blockiert
Info 06.12.2000 06:17:03 IP Filter NDIS-Filter ist aktiviert
Info 06.12.2000 06:17:03 NDIS Filter Interaktiver Lernmodus ist aktiviert
Info 06.12.2000 06:17:03 NDIS Filter Firewall-Konfiguration wurde aktualisiert: 105 Regeln

05.12.2000 23:09:48 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (193.159.51.244,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (193.159.51.244,27374)
Remote-Adresse, Dienst ist (193.159.140.229,1043)
Prozessname ist „N/A“

05.12.2000 23:04:10 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (193.159.51.244,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (193.159.51.244,27374)
Remote-Adresse, Dienst ist (62.226.181.193,3086)
Prozessname ist „N/A“

05.12.2000 23:04:07 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (193.159.51.244,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (193.159.51.244,27374)
Remote-Adresse, Dienst ist (62.226.181.193,3086)
Prozessname ist „N/A“

05.12.2000 22:54:24 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (193.159.51.244,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (193.159.51.244,27374)
Remote-Adresse, Dienst ist (217.0.205.93,4706)
Prozessname ist „N/A“

05.12.2000 22:54:21 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (193.159.51.244,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (193.159.51.244,27374)
Remote-Adresse, Dienst ist (217.0.205.93,4706)
Prozessname ist „N/A“

05.12.2000 22:44:30 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (193.159.51.244,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (193.159.51.244,27374)
Remote-Adresse, Dienst ist (62.27.223.46,1574)
Prozessname ist „N/A“

05.12.2000 22:44:27 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (193.159.51.244,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (193.159.51.244,27374)
Remote-Adresse, Dienst ist (62.27.223.46,1574)
Prozessname ist „N/A“

05.12.2000 22:31:08 NDIS Filter Regel „Standard Backdoor/SubSeven blockieren“ blockierte (193.159.51.244,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (193.159.51.244,27374)
Remote-Adresse, Dienst ist (213.23.52.252,3721)
Prozessname ist „N/A“

Anonym · 17. Dezember 2000 um 18:45

Wozu loggt denn deine Firewall jederzeit die IPs der Angreifer mit? Anhand dieser kannst du ungefähr herausfinden, wer hinter den Angriffen stecken könnte.
Nach den Meldungen zu urteilen, ist es anscheinend immer die gleiche Person, die versucht auf deinen PC zuzugreifen. Allerdings mit unterschiedlichen Trojanern. Hast du eventuell jemanden in Verdacht?

Anonym · 17. Dezember 2000 um 20:04

nee hab da leider (oder zum glück) niemand im verdacht…

2 fragen

wie bekomme ich die trojas wieder von der platte.

hab ich die möglichkeit über die ips herauszubekommen wer dahinter steckt.

hast du ne idee? oder irgendwer?
danke!

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Markus_Bradtke · 17. Dezember 2000 um 20:17

ich bekomme in regelmässigen abständen im netz durch norton
internet security folgende meldungen. kann mir mal einer
veraten wie ich rausbekomme wer hinter diesen *angriffen*
steckt?
und kennt jemand einen trojan check der auch unter win2000
läuft?

17.12.2000 17:03:51 NDIS Filter Regel „Standard Hack ‚A‘ Tack
blockieren“ blockierte (193.159.52.250,31789). Details:
Ankommendes UDP-Paket
Lokale Adresse, Dienst ist (193.159.52.250,31789)
Remote-Adresse, Dienst ist (149.225.156.178,31790)
Prozessname ist „N/A“

Hallo Mike!

Nein, diese Meldungen der Firewall sagen nichts über einen Trojaner auf Deiner Platte aus. Es handelt sich hier um ankommende Pakete, also klopft jemand auf Deinem Rechner diejenigen Ports ab, welche üblicherweise von Trojanern verwendet werden, um so zufällig ein Opfer zu finden, auf dessen Rechner ein Trojaner aktiv ist.

Kritisch wird es für Dich nur dann, wenn Deine Firewall Versuche Deines Rechners meldet, Antwortpakete auf solche Anfragen zu senden. Ebenso kann es auch sein, daß ein Trojaner prüft, ob eine Online-Verbindung besteht (z.B: durch Pings) und dann versucht, Daten per Mail abzuschicken. Deine Firewall sollte also so konfiguriert sein, daß nur Dein Mail-Client eine SMTP-Session aufbauen darf und daß Pings, etc. gemeldet werden.

CU
Markus

Anonym · 17. Dezember 2000 um 20:21

nee hab da leider (oder zum glück) niemand im verdacht…

Solltest du aber, glaube ich

2 fragen

wie bekomme ich die trojas wieder von der platte.

Dass jemand versucht darauf zuzugreifen heisst noch lange nicht, daß du welche auf der Platte hast. Um sicher zu gehen empfehle ich dir AVP (http://www.avp.ch). DIeser Virenscanner ist gegen Trojaner besonders wirkungsvoll.

hab ich die möglichkeit über die ips herauszubekommen wer
dahinter steckt.

Naja. SO wie es aussieht kommt dein Typ von T-Online. Aber wirklich die Person rausbekommen kannst du nur, wenn du dich an der Provider wendest.

mfg
Taurus

Gernot_Bugram · 17. Dezember 2000 um 20:36

hab ich die möglichkeit über die ips herauszubekommen wer
dahinter steckt.

t-online wird nur der staatsanwaltschaft sagen, wer zum fraglichen zeitpunkt diese ip benutzt hat. du kannst aber das protokoll an t-online schicken, damit den typen wenigstens verwarnen.

gernot

Anonym · 19. Dezember 2000 um 14:14

Ist lästig, mußte aber mit leben!
Zu den Antworten unten:

Staatsanwaltschaft, hab ich probiert, nach 10 Monaten, Beteiligung von 2 Richtern und 160 Seiten Akten: eingestellt, weil T-online die Daten gelöscht hat.
T-online: DENEN BIST DU SCHEISSEGAL; DIE LÖSCHEN DEINE MAIL; DAS WARS!Bei T-Offline ist der Kunde ein Störfaktor!
Bei anderen Providern habe ich mich auch schon beschwert, da bekamen die Jungs Probleme!
Was mir vorschwebt wäre ein Programm, das als Antwort auf einen Portscan dem Angreifer ein häßliches Problem macht!

Anonym · 19. Dezember 2000 um 14:58

Was mir vorschwebt wäre ein Programm, das als Antwort auf
einen Portscan dem Angreifer ein häßliches Problem macht!

Gibt es doch schon…angeblich…Lockdown, oder?

Anonym · 19. Dezember 2000 um 16:22

lockdown?

Was mir vorschwebt wäre ein Programm, das als Antwort auf
einen Portscan dem Angreifer ein häßliches Problem macht!

Gibt es doch schon…angeblich…Lockdown, oder?

weisst du da was genaueres zu? wie es funktioniert und so?

Anonym · 19. Dezember 2000 um 16:26

hi markus!
ich habe mit meinem virenscanner auch keinen trojaner auf meiner platte gefunden (norton). desweiteren ist mein system auch noch sehr frisch. dieses problem mit diesen *attacken* habe ich aber schon seit dem ich das system neu aufspielte und nortonb inet security installierte. der *typ* scheint also hartnäckig zu sein.
einen reinen trojaner checker für win2000 hab ich leider noch nicht gefunden.

Hallo Mike!

Nein, diese Meldungen der Firewall sagen nichts über einen
Trojaner auf Deiner Platte aus. Es handelt sich hier um
ankommende Pakete, also klopft jemand auf Deinem Rechner
diejenigen Ports ab, welche üblicherweise von Trojanern
verwendet werden, um so zufällig ein Opfer zu finden, auf
dessen Rechner ein Trojaner aktiv ist.

Kritisch wird es für Dich nur dann, wenn Deine Firewall
Versuche Deines Rechners meldet, Antwortpakete auf solche
Anfragen zu senden. Ebenso kann es auch sein, daß ein Trojaner
prüft, ob eine Online-Verbindung besteht (z.B: durch Pings)
und dann versucht, Daten per Mail abzuschicken. Deine Firewall
sollte also so konfiguriert sein, daß nur Dein Mail-Client
eine SMTP-Session aufbauen darf und daß Pings, etc. gemeldet
werden.

CU
Markus

Anonym · 19. Dezember 2000 um 16:27

gute idee, werd ich machen. gibts da ne spezielle adresse bei t-online wo man das hinschicken kann?

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Anonym · 19. Dezember 2000 um 16:37

Solltest du aber, glaube ich

du meinst also ich sollte. aha. was ich mir nicht erklären kann ist folgendes. ich habe, wie wahrscheinlich die meisten hier, keine feste ip. trotzdem landet der typ fast täglich in den abendstunden wieder bei mir. wie soll das gehen wenn ich keinen trojaner auf meiner platte habe?

Dass jemand versucht darauf zuzugreifen heisst noch lange
nicht, daß du welche auf der Platte hast. Um sicher zu gehen
empfehle ich dir AVP (http://www.avp.ch). DIeser Virenscanner
ist gegen Trojaner besonders wirkungsvoll.

o.k. schau ich mir an. hoffentlich läuft der unter win2000.

Naja. SO wie es aussieht kommt dein Typ von T-Online. Aber
wirklich die Person rausbekommen kannst du nur, wenn du dich
an der Provider wendest.

wie kommst du drauf das „der typ“ von t-online kommt? die 62.156.42.238 ip o.k., awer was ist die andere geschichte (149.225.156.178) für ein provider? EUnet (?) nagt mir echt nix…

mfg
mike

Anonym · 19. Dezember 2000 um 17:04

gute idee, werd ich machen. gibts da ne spezielle adresse bei
t-online wo man das hinschicken kann?

[email protected] (Abuse = Mißbrauch)

Anonym · 19. Dezember 2000 um 17:12

gute idee, werd ich machen. gibts da ne spezielle adresse bei
t-online wo man das hinschicken kann?

[email protected] (Abuse = Mißbrauch)

danke! fand gerade heraus das es auch noch ne [email protected] von t-online gibt.

Anonym · 19. Dezember 2000 um 18:32

Lockdown ist einer Firewall, überall wird sie entweder hoch gelobt, oder vernichtend kritisiert. Es ist dort ein Future eingebaut, mit dem du „zurückschlagen“ kannst, sprich dem Angreifer das Garaus machen.
Wie wirkungsvoll das wirklich ist, kann ich persönlich nicht beurteilen, habe diese Firewall noch nie ernsthaft getestet.

mfg
Taurus

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Gernot_Bugram · 19. Dezember 2000 um 23:05

Lockdown ist einer Firewall, überall wird sie entweder hoch
gelobt, oder vernichtend kritisiert. Es ist dort ein Future
eingebaut, mit dem du „zurückschlagen“ kannst, sprich dem
Angreifer das Garaus machen.
Wie wirkungsvoll das wirklich ist, kann ich persönlich nicht
beurteilen, habe diese Firewall noch nie ernsthaft getestet.

hab sie auch noch nicht getestet und kann daher nichts authentisches dazu sagen, aber ein paar links habe ich anzubieten:

http://www.crosswinds.net/~ld2k/#scan
http://www.home.pages.at/heaven/sec0061.htm
http://www.i-schutz.de/lockdown.html
http://www.pcwelt.de/content/artikel/artreport/20000…
http://www.lanline.de/spezial/sicherheit/s52.html
http://www.home.pages.at/heaven/sec037.htm

und falls du die c’t hast, hier findest du auch was dazu:
c’t 20/00, Seite 126: Elf Personal Firewalls im Test

c’t 3/99, Seite 146: Schutzbehauptung. Sicherheitssoftware für Windows-PCs

gernot bugram

Anonym · 25. Dezember 2000 um 09:41

hallo,

ich bekomme in regelmässigen abständen im netz durch norton
internet security folgende meldungen. kann mir mal einer
veraten wie ich rausbekomme wer hinter diesen *angriffen*
steckt?

Tach!

Um eine IP heraus zubekommen brauchst du nur auf folgende Site gehen: http://www.ripe.net/cgi-bin/whois
Da einfach nur die betreffende IP eingeben und man weiß dann den Provider, dem ne Mail schicken und fertig. Je nachdem wie ernsthaft dieser dahinter ist, ist dein Problem dann hoffentlich gelöst.
Als spassige Alternative kannste dir mal Visual Route 5.0 runterladen. Zeigt textuell und grafisch den AufbauVerlauf einer Site an - klappt auch mit IP´s den dann weiß man schon mal ungefähr wo der Ping herkommt. (Aber nicht immer - zeigt nur den Einwahlort an!)
Gruß und frohes Fest, Karsten

Anonym · 1. Januar 2001 um 22:17

Hi mike,

Portscans selbst sind nicht illegal. Solltest Du jedoch „zurückschiessen“ und am anderen System dadurch Schaden verursachen, hast Du die Straftat begangen.

du meinst also ich sollte. aha. was ich mir nicht erklären
kann ist folgendes. ich habe, wie wahrscheinlich die meisten
hier, keine feste ip. trotzdem landet der typ fast täglich in
den abendstunden wieder bei mir. wie soll das gehen wenn ich
keinen trojaner auf meiner platte habe?

Der Typ weiß möglicherweise nichts von Deiner persönlichen Existenz. Er macht es sich sehr leicht und scannt ganze IP-Bereiche. Damit werden viele IPs automatisch in einem Durchgang gescannt, ohne daß der „Angreifer“ jede IP einzeln eintragen muß. IMO handelt es sich nicht um einen Angreifer, der bewußt gegen Dich agiert, sondern um jemanden, der täglich, wenn er von der Schule/Arbeit (daher die Abendstunden) kommt, nachschaut, ob er irgendwo den entsprechenden Trojaner findet, der auf seine Anfrage reagiert.

Naja. SO wie es aussieht kommt dein Typ von T-Online. Aber
wirklich die Person rausbekommen kannst du nur, wenn du dich
an der Provider wendest.

wie kommst du drauf das „der typ“ von t-online kommt? die
62.156.42.238 ip o.k., awer was ist die andere geschichte
(149.225.156.178) für ein provider? EUnet (?) nagt mir echt
nix…

149.225.0.0 - 149.225.255.255 = UUNET (unter http://www.uunet.de/ findest Du sicher ein paar Infos).

Kein seriöser Provider wird Dir aufgrund eines logfiles Informationen zur gesuchten Person geben. Wenn Du jedoch ein Gericht auf Deine Seite bekommst, wird er die Daten diesem sicher übergeben (sofern noch vorhanden).

Ich würde mir keine allzugroßen Gedanken darüber machen. Solange die Firewall zuverlässig blockt und, was noch wichtiger ist, solange Du keinen Trojaner auf Deinem System hast, kann Dir diesbezüglich nichts passieren.

Gruß,
Herbert

Anonym · 8. Januar 2001 um 08:37

hallo Karsten

hast du auch zufällig nen link zum download an der hand?

thx
mike

Anonym · 9. Januar 2001 um 17:25

Such einfach nach VisualRoute 5 unter z.B. www.yahoo.de oder .com
c.u. Karsten

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]