Wirklich Wichtig ! IRC Wurm / trojaner / floodbot

[Raven]

Moin !

Folgendes : Ein Freund berichtete mir über schwere Attacken auf sein IRC Netzwerk. Das ganze wird verursacht durch eine nicht grad kleine Ansammlung verschiedener komponenten inkl. Trojaner.. (das ganze hat ca. 1MB!) Das Ding wird irgendwie über den Netbios Port 139 eingeschleust.

Was das Ding noch so alles anstellt, vermag ich nicht zu sagen, da ich mich nicht besonders mit soetwas auskenne..

Das Ding installiert sich also über Netbios und startet sich. verbindet sich dann zum einem IRC Netzwerk und floodet es ohne ende mit floodbots.

Das Problem dabei ist, das jeder infizierte Rechner dabei zur "floodmaschine" wird, unabhängig davon ob man mit dem IRC zu tun hat oder nicht. Fakt ist, das sich auf dem IRC Netzwerk meines Bekannten pro sekunde bis zu 200 floodbots einloggen - und somit fast alles zum stillstand bringen.

Laut seiner Aussage bringt es auch nichts, die ip ranges zu bannen, weil zum einen dadurch viele normale user auch gesperrt werden würden die bots aber sobald sie gebannt sind, eine ddos attacke starten..

Von daher dachte ich, ich frage mal die Fachleute hier, ob evtl. irgendwer helfen könnte. Ich hab mir dieses - wie soll mans nennen - "programm" (eher ne .exe sammlung) von ihm schicken lassen.

Vielleicht könnte sich das einer von den Experten mal genauer anschauen und etwas über funktionsweise sagen, bzw. was das Ding eigentlich alles auf dem Rechner anstellt, so das man vielleicht ne lösungfinden kann, der Sache Herr zu werden.

Wäre echt superklasse. Denn bis jetzt wissen wir ja leider nur annähernd, was tatsächlich passiert, bzw. was das Ding im IRC anrichtet. Aber da da irgendsoein Telnet tool bei ist, weiß ich nicht, ob man dadurch irgendwelchen Freaks Haus und Tor öffnet.