Hi,
ich bräuchte mal einen Denkanstoß^^ Habe neulich meinen Pc mal auf Viren überprüfen wollen, habe dabei auch in der cmd per netstat -a und -b nach Trojanern Ausschau gehalten und entdeckte einen fremden Pc namen der eine Abhör Verbindung mit mir hatte. Seine IP war im Netzwerk unter der normalen halt 192.168 und so weiter und hinten als port 45082 (5 stellig war der Port auf jeden Fall). Ich hab dann sofort das Lan-Kabel (!) gezogen und erstma eine HijackThis Logfile erstellt. War alles negativ und nach dem Wiederanschließen war der Pc mit dem Namen FRANK-Pc verschwunden. Was zum Teufel war das? War ja selber mal im Programing tätig und habe so manches Mistvieh programiert und auf meinem zweiten Pc getestet. Normalerweise entsteht ein netstat -a Eintrag ja nur, wenn ich einen Trojaner drauf gehabt habe / hätte und dieser sich grade was zieht um mich Teil seines Botnetzes werden zu lassen...

Was meint ihr dazu?

Hallo,

Zitat:

in der cmd per netstat -a und -b nach Trojanern Ausschau gehalten

Intelligentere Malware sieht man nicht über netstat

Zitat:

einen fremden Pc namen der eine Abhör Verbindung mit mir hatte. Seine IP war im Netzwerk unter der normalen halt 192.168

Dann war er bereits schon Deinem Netzwerk drin, 192.168.x.y ist ein privates IP-Adressegment. Du betreibst nicht zufällig noch WLAN mit schwacher Verschlüsselung?
Das würde erklären, warum er direkt in Deinem Netzwerk schon drin war.

ich rede auch nicht von intelligenter Malware, sondern von einem gut gecrypteten Backdoor Trojaner. Mit der Hilfe solch eines Trojaners könnte er tun und lassen was er will mit meinem Pc. Wlan beim Router ist aus. Ich hab ein Lan-Kabel... Wenn wäre da eine WPA2 Verschlüsselung und die ist erst mal Arbeit^^

Ich denke mal ich hab nen Fehlgriff getätigt und etwas falsches angeklickt... Ich wurde dann dadurch zum unfreiwilligen Victim. Interessante Wende

mfg

Zitat:

ich rede auch nicht von intelligenter Malware, sondern von einem gut gecrypteten Backdoor Trojaner.

Was meinst Du mit "gut gecryptet"? Es ist egal wie man das ausdrückt, ob nun "intelligente Malware" oder eben gut "gecryptet", wenn der Malwareautor eine gewisse Portion Ahnung und kriminelle Energie hat, wird er etwas Zeit investieren und Routinen verwenden, die seine Malware nicht so leicht auffliegen lässt.

Zitat:

Wlan beim Router ist aus. Ich hab ein Lan-Kabel... Wenn wäre da eine WPA2 Verschlüsselung und die ist erst mal Arbeit^^

Wenn WLAN aus ist, spielt die Verschlüsselung eh keine Rolle mehr.
Wie allerdings soll er sonst in Dein privates Netz drin sein?

Zitat:

ch denke mal ich hab nen Fehlgriff getätigt und etwas falsches angeklickt... Ich wurde dann dadurch zum unfreiwilligen Victim.

Du hast ein Crack/Keygen ausgeführt oder was willst Du damit sagen?

Zitat:

Zitat von cosinus

Wenn WLAN aus ist, spielt die Verschlüsselung eh keine Rolle mehr.

Wenn das Wörtchen "wenn" nicht wär... habe geschrieben. Wlan ist aus, und -selbst wenn ON -wäre noch eine Wpa 2 Verschlüsselung zu knacken.

Was ich ausgeführt habe? Eine Bilddatei die mit einem Virus gespickt war...


Diese netstat Einträge kamen immer früher mit der "Rat" namens SharK zu Stande. Eine Netzwerk Ip war im netstat zu sehen, jedoch wäre danach folgendes gestanden: Self:IP.9*.*.*.* etc..
Ich bin schon etwas länger aus der Hacker/Cracker Szene raus um zu wissen, welche moderne kacke unterwegs ist. Meine Vermutung war eben, das ich mich mit etwas mir unbekannten infiziert habe. Hätte das Bild lieber mal sandboxed laufen lassen sollen, glaub aber selbst die bringt nischt mehr^^[/QUOTE]

Zitat:

Zitat von David91

Ich bin schon etwas länger aus der Hacker/Cracker Szene raus...
Was ich ausgeführt habe? Eine Bilddatei die mit einem Virus gespickt war...

Wohl eher aus der Scriptkiddy-Szene
Eine Bilddatei ist an für sich eine "gefahrlose" Datei, es denn Du warst deppert genug auf sowas wie *.jpg.exe hereinzufallen
Allerdings gab es da vor Jahren mal die WMF-Lücke in Windows, sollte aber bei

- aktueller Software
- mit eingeschränkten Rechten

nun kein Thema mehr sein.

Zitat:

Hätte das Bild lieber mal sandboxed laufen lassen sollen, glaub aber selbst die bringt nischt mehr^^

Verrat mir mal wie Du Bilder "ausführen" willst?
Bilddatei != ausführbare Datei

Zitat:

Zitat von cosinus

Intelligentere Malware sieht man nicht über netstat

deshalb nutze ich netstat nie, man erhält kein brauchbares Ergebnis.

@cosinus und einen schönen Abend.

Zitat:

Zitat von Heike

@cosinus und einen schönen Abend.

Hallo liebe Heike, danke für den netten Gruß

Zitat:

Zitat von cosinus

Wohl eher aus der Scriptkiddy-Szene

nein aber dort gab es schon einige "3v1l l33t h4x0r die alles w3gb4sh0rn wollten. (berühmter Satz dort, mit etwas leet speek Einsatz - wenn auch nicht ganz in leet speek- )

Zitat:

Zitat von cosinus

Eine Bilddatei ist an für sich eine "gefahrlose" Datei, es denn Du warst deppert genug auf sowas wie *.jpg.exe hereinzufallen
Allerdings gab es da vor Jahren mal die WMF-Lücke in Windows, sollte aber bei

- aktueller Software
- mit eingeschränkten Rechten

nun kein Thema mehr sein.

gibt immer noch so gute crypter, die aus aus einer .exe und einer .jpg Datei, eine normale .jpg Datei machen. Da sieht man keine Doppelendung... Das nur am Rande...

Zitat:

Zitat von cosinus

Verrat mir mal wie Du Bilder "ausführen" willst?

Man kann alles in einer Sandbox laufen lassen, lässt man ein Bild in einer Sandbox laufen, startet diese das Grafikprogramm (z. B. Paint) und lässt den gesamten Prozess eben sandboxed laufen... Probiers aus. Dir wird das [#] ... [#] auffallen...

Zitat:

Zitat von David91

gibt immer noch so gute crypter, die aus aus einer .exe und einer .jpg Datei, eine normale .jpg Datei machen. Da sieht man keine Doppelendung... Das nur am Rande...

Das wäre eine manipulierte Bilddatei, wo die Autoren Schwächen in Bildbetrachtern ausnutzen. Du kannst keine Bilddatei ausführen, ein Bild ist kein Programm!

Zitat:

Man kann alles in einer Sandbox laufen lassen, lässt man ein Bild in einer Sandbox laufen, startet diese das Grafikprogramm (z. B. Paint) und lässt den gesamten Prozess eben sandboxed laufen... Probiers aus. Dir wird das [#] ... [#] auffallen...

Trotzdem führst Du dann immer noch nicht das Bild aus
Nochmal, Bilder kann man nicht ausführen, aber Du kannst den Bildbetrachter wie Paint oder IrfanView ausführen und damit das Bild öffnen!

Zitat:

Das wäre eine manipulierte Bilddatei, wo die Autoren Schwächen in Bildbetrachtern ausnutzen. Du kannst keine Bilddatei ausführen, ein Bild ist kein Programm!

Richtig. Darauf wollte ich hinaus Das man kein Bild ausführen kann im eigentlichen Sinne, das dürfte hier wohl jedem bekannt sein. Ich hab mich anscheinend falsch ausgedrückt. Oder besser gesagt nicht so knieselfieselig :P Ob ich nun einen "Bildbetrachter" ausführe oder das Bild "aufmache" kommt immer das Selbe raus

In diesem Sinne, einen schönen Abend noch
mfg

Ja, genau ein manipuliertes Bild. Das kann Dich aber nicht infizieren wie ich eingangs so schon erwähnt hatte:

Zitat:

- mit aktueller Software (der Bildbetrachter)
- mit eingeschränkten Rechten

Wenn Du Dich also so infiziert hast, hast Du einfach fahrlässig gehandelt.