Komischer Eintrag in netstat -a
 

Hi,
ich bräuchte mal einen Denkanstoß^^ Habe neulich meinen Pc mal auf Viren überprüfen wollen, habe dabei auch in der cmd per netstat -a und -b nach Trojanern Ausschau gehalten und entdeckte einen fremden Pc namen der eine Abhör Verbindung mit mir hatte. Seine IP war im Netzwerk unter der normalen halt 192.168 und so weiter und hinten als port 45082 (5 stellig war der Port auf jeden Fall). Ich hab dann sofort das Lan-Kabel (!) gezogen und erstma eine Hijackthis Logfile erstellt. War alles negativ und nach dem Wiederanschließen war der Pc mit dem Namen FRANK-Pc verschwunden. Was zum Teufel war das? War ja selber mal im Programing tätig und habe so manches Mistvieh programiert und auf meinem zweiten Pc getestet. Normalerweise entsteht ein netstat -a Eintrag ja nur, wenn ich einen Trojaner drauf gehabt habe / hätte und dieser sich grade was zieht um mich Teil seines Botnetzes werden zu lassen...

Was meint ihr dazu?

Hallo,

Intelligentere Malware sieht man nicht über netstat

Dann war er bereits schon Deinem Netzwerk drin, 192.168.x.y ist ein privates IP-Adressegment. Du betreibst nicht zufällig noch WLAN mit schwacher Verschlüsselung? :rolleyes:
Das würde erklären, warum er direkt in Deinem Netzwerk schon drin war.

ich rede auch nicht von intelligenter Malware, sondern von einem gut gecrypteten Backdoor Trojaner. Mit der Hilfe solch eines Trojaners könnte er tun und lassen was er will mit meinem Pc. Wlan beim Router ist aus. Ich hab ein Lan-Kabel... Wenn wäre da eine WPA2 Verschlüsselung und die ist erst mal Arbeit^^:rolleyes:

Ich denke mal ich hab nen Fehlgriff getätigt und etwas falsches angeklickt... Ich wurde dann dadurch zum unfreiwilligen Victim. Interessante Wende :rolleyes:

mfg

Was meinst Du mit "gut gecryptet"? :balla: Es ist egal wie man das ausdrückt, ob nun "intelligente Malware" oder eben gut "gecryptet", wenn der Malwareautor eine gewisse Portion Ahnung und kriminelle Energie hat, wird er etwas Zeit investieren und Routinen verwenden, die seine Malware nicht so leicht auffliegen lässt.

Wenn WLAN aus ist, spielt die Verschlüsselung eh keine Rolle mehr. :rolleyes:
Wie allerdings soll er sonst in Dein privates Netz drin sein?

Du hast ein Crack/Keygen ausgeführt oder was willst Du damit sagen? :confused:

Wenn das Wörtchen "wenn" nicht wär... habe geschrieben. Wlan ist aus, und -selbst wenn ON -wäre noch eine Wpa 2 Verschlüsselung zu knacken.

Was ich ausgeführt habe? Eine Bilddatei die mit einem Virus gespickt war...


Diese netstat Einträge kamen immer früher mit der "Rat" namens SharK zu Stande. Eine Netzwerk Ip war im netstat zu sehen, jedoch wäre danach folgendes gestanden: Self:IP.9*.*.*.* etc..
Ich bin schon etwas länger aus der Hacker/Cracker Szene raus um zu wissen, welche moderne kacke unterwegs ist. Meine Vermutung war eben, das ich mich mit etwas mir unbekannten infiziert habe. Hätte das Bild lieber mal sandboxed laufen lassen sollen, glaub aber selbst die bringt nischt mehr^^[/QUOTE]

Wohl eher aus der Scriptkiddy-Szene :D
Eine Bilddatei ist an für sich eine "gefahrlose" Datei, es denn Du warst deppert genug auf sowas wie *.jpg.exe hereinzufallen :balla:
Allerdings gab es da vor Jahren mal die WMF-Lücke in Windows, sollte aber bei

- aktueller Software
- mit eingeschränkten Rechten

nun kein Thema mehr sein. :)

Verrat mir mal wie Du Bilder "ausführen" willst? :confused:
Bilddatei != ausführbare Datei

deshalb nutze ich netstat nie, man erhält kein brauchbares Ergebnis.

@cosinus :party: und einen schönen Abend. :)

Hallo liebe Heike, danke für den netten Gruß :knuddel:

:) nein aber dort gab es schon einige "3v1l l33t h4x0r die alles w3gb4sh0rn wollten. (berühmter Satz dort, mit etwas leet speek Einsatz - wenn auch nicht ganz in leet speek- )

gibt immer noch so gute crypter, die aus aus einer .exe und einer .jpg Datei, eine normale .jpg Datei machen. Da sieht man keine Doppelendung... Das nur am Rande...



Man kann alles in einer Sandbox laufen lassen, lässt man ein Bild in einer Sandbox laufen, startet diese das Grafikprogramm (z. B. Paint) und lässt den gesamten Prozess eben sandboxed laufen... Probiers aus. Dir wird das [#] ... [#] auffallen...

Das wäre eine manipulierte Bilddatei, wo die Autoren Schwächen in Bildbetrachtern ausnutzen. Du kannst keine Bilddatei ausführen, ein Bild ist kein Programm!

Trotzdem führst Du dann immer noch nicht das Bild aus :p
Nochmal, Bilder kann man nicht ausführen, aber Du kannst den Bildbetrachter wie Paint oder IrfanView ausführen und damit das Bild öffnen!

Richtig. Darauf wollte ich hinaus :) Das man kein Bild ausführen kann im eigentlichen Sinne, das dürfte hier wohl jedem bekannt sein. Ich hab mich anscheinend falsch ausgedrückt. Oder besser gesagt nicht so knieselfieselig :P Ob ich nun einen "Bildbetrachter" ausführe oder das Bild "aufmache" kommt immer das Selbe raus :)

In diesem Sinne, einen schönen Abend noch :)
mfg

Ja, genau ein manipuliertes Bild. Das kann Dich aber nicht infizieren wie ich eingangs so schon erwähnt hatte:

Wenn Du Dich also so infiziert hast, hast Du einfach fahrlässig gehandelt.