FAQ: Meldung v. Norton Firewall richtig interpretieren!

#1 Da es hier im Forum immer wieder zu mißverständlichen Wertungen der Meldung von Norton Internet Security (NIS) und Norton Personal Firewall (NPS) kommt, hier mal eine Interpretationshilfe:

Wenn der Firewall-Assisten oder das Logfile einen Angriff durch einen Trojaner melden, dann bedeutet dies nicht, daß versucht wird dem Rechner einen Trojaner unterzuschieben bzw. ein Trojaner auf dem Rechner aktiv ist.

Diese Meldungen sind von Symantec sehr werbewirksam gestaltet. Sie bedeuten nicht mehr und nicht weniger, als das der Rechner mit Hilfe eines Portscanners gescannt wird. Dabei wurden auch Ports gescannt, die als Standardports von Trojanern bekannt sind. Der Sinn dieses Scans liegt darin, einen infizierten und ungeschützten Rechner zu finden um sich dann mit dem dort installierten Server zu verbinden.

Wenn Ihr Euch nicht sicher seit ob es vielleicht doch einen Trojaner gibt, dann benutzt bitte einen aktuellen Virenscanner oder ein Anti-Trojaner-Programm.

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#2 Ein Trojaner kann Euch nur untergeschoben werden, indem Ihr Dateien bzw. eMails aus unsicherer Quelle öffnet.

Ein Trojanisches Pferd ist ein Programm, dessen implementierte Ist-Funktionalität nicht mit der angegebenen Soll-Funktionalität übereinstimmt. Es erfüllt zwar diese Soll-Funktionalität, besitzt jedoch darüber hinausgehende, beabsichtigte zusätzliche Funktionen.
Ein Trojanisches Pferd besitzt verborgene Eigenschaften, um z.B. in ein System einzudringen, um Daten aufzuzeichnen oder zu manipulieren.

Diese Dateien aus unsicheren Quellen können dann eine Trojaner enthalten, der durch das Starten des Programms auf Eurem System installiert wird.

R:
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 Ich hätte da etwas anzumerken.

Trojaner müssen nicht nur aus unsicheren Quellen kommen.
Man sollte grundsätzlich einen stets aktuellen Virenscanner installiert haben
um ausschließen zu können, dass man nicht etwa auch von Freunden
(wenn auch unbeabsichtigt) Trojaner untergejubelt bekommt.
Wobei auch ein Virenscanner nicht für absolute Sicherheit sorgen kann.
__________
So wird mein Post von allen gelesen..

#4 Wer öffnet schon gutgläubig *.exe Files? Manche Dinge muß man eben einfach unterbinden.
-unsichere ActiveX deaktivieren
-Dateinamenerweiterung immer einblenden (wegen z.B. .jpg.exe Files als Mailanhang)
-EXE, ZIP immer scannen
-BAT...etc. löschen

Und wenn man die Vermutung hat, ob ein Trojaner schon auf dem System herumspukt hilft meist (ich meine meist!) ein Blick in die Registry nach den RUN-Keys.
__________
rm -rf /bin/laden

#5 Ich bin in letzter Zeit öffters von Subseven oder ähnlichen Abgescannt worden,
nun werde ich es nicht länger hinnehmen und habe mich schlau gemacht :in zukunft werde ich die IP zurückverfolgen und jede IP an NeoTrace melden,dort werden die eingehenden IPs gesammelt und ausgewertet,http://neotrace.com

#6 du hast es nicht verstanden was das zu bedeuten hat

1. es ist einfach ein scann und hat mit sub7 nichts zu tun auch wenn
es dir norton weißmachen möchte das gibt symantec sogar selbst zu
http://service1.symantec.com/Support/Inter/Nisintl.nsf/de_docid/20010423092022928?Open&src=de_w
Sie sagen auch das die Ip adresse gespooft sein kann und der eigentlich besitzer
garnichts damit zu tun hat.

4. Es ist zu 99% ein kind was etwas blödsinn im kopf hat und einfach nur portscannt
das ist zwar nicht besonders toll aber es wäre sinnlos diese Leute zu verfolgen

Wenn dich eine Ip wirklich mit scanns nerven sollte geh an sein Netbios ran und schick ihn eine Bildschirmnachricht
oder druck was auf seinen drucker aus danach wird er es nichtmehr machen

Mh man sollte in die updates schreiben das Tcp outgoing Remport 80 ein trojaner ist
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#7 Ein ähnliches Thema wurde auch hier besprochen:
Bugbear Warnung durch Norton Firewall
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8 Wenn es sich um den Port 4662 handelt, dann erfolgt die Abfrage des Ports aufgrund dessen, daß derjenige (oder ihr selbst), der Eure IP vorher hatte im Esel Netz aktiv war und dort noch als Knoten bekannt ist. Es suchen nun einfach alle anderen Teilnehmer nach dem entsprechenden Client auf Eurem Rechner.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...