Trojaner und ihre Ports
 

Hallo zusammen,

wie ist das mit den den Trojanern und ihren aufgelisteten Ports gemeint? Agieren die immer nur auf den zugeordneten Ports, oder kann es auch sein dass sie über andere "fremdgehen"?

hi,

was genau meinst Du? Beispiel?

Ich hab da so ne Liste gesehen, auf welcher etliche Trojaner aufgelistet waren, z.B. Trojaner XY = Port 902, Trojaner YZ = Port 1087, etc...

Ist das so dass die dann auch nur auf den zugehörigen Ports agieren? Oder können die auch über andere Ports senden/empfangen? Also Trojaner XY nur über Port 902, kein Port 903, kein Port 1087 u.s.w.?

Das kann so stimmen, kann sich aber auch stündlich ändern, kommt auf die laune der Malware-Schreiber an.

Darauf würde ich mich nicht mehr verlassen, denn ich gehe davon aus, dass diese Listen sehr alt sind und noch Malware betreffen, die noch nach dem klassischen Serverprinzip arbeiten. Soll heißen, dass z.B. ein Backdoor-Programm früher einen Port geöffnet hat und dann auf eine Verbindung von außen gewartet hat. Diese Vorgehensweise ist kaum noch anzutreffen, weil bereits der Router alle eingehenden Verbindungen im Normalfall blockt und wenn doch etwas durchkommt, dann springt die Windows Firewall ein. Die neueren Malwarevarianten verbinden sich aktiv zu einem C&C Server, sie bauen also die Verbindung vom infizierten Rechner aus auf, was weder von der Windows Firewall noch vom Router bemängelt wird. Dabei kann der Port unterschiedlich sein oder mit jeder Verbindung variieren, also ein zufällig freier Port gewählt werden. Damit ist so eine Liste obsolet.

Das was Schrauber bereits geschrieben hat kommt noch dazu und es war auch früher schon so, dass die Malware auf verschiedenen Ports lauschen konnte, das ließ sich leicht einstellen.

MfG, Kaos

Danke für die Info :daumenhoc dieses Detail hab ich so nirgends finden können...


Fragt sich jetzt nur ob es noch niemand explizit beschrieben hat, oder (wohl eher) ich einfach nicht tief genug gegraben habe. :sleepy: