Suche einen Wurmtester |
|
---|---|
29.11.2004, 16:16
Member
Beiträge: 3306 |
|
|
|
29.11.2004, 17:48
Member
Beiträge: 813 |
#2
Du kannst ihn mir ja mal schicken. Ich habe mich zwar bisher vorwiegend mit Trojanern beschäftigt (die sind berechenbarer...), aber mich würde auch mal interessieren wie so eine jpg-Infektion abläuft...
Als Testsystem habe ich übrigens einfach eine frische, per Image zu erneuernde WinXP-Partition, die ich je nach Bedarf mit verschiedenen Tools ausstatte (File-, Regmon von Systernals, Portviewer, (Sys-)Firewall, Sandbox usw.) Bei einem Wurm wäre es vielleicht noch angebracht, das Netzwerkkabel zu ziehen... Mail-Adresse steht im Userprofil. __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 29.11.2004 um 17:49 Uhr von forge77 editiert.
|
|
|
29.11.2004, 17:55
Member
Beiträge: 1122 |
#3
Mir kannst du ihn auch mal schicken ( ***@gmx.net )
Hab hier ein WinXp Home + Sp2 frisch rumstehen MFG DAFRA Dieser Beitrag wurde am 11.12.2004 um 13:22 Uhr von Dafra editiert.
|
|
|
29.11.2004, 19:47
Member
Themenstarter Beiträge: 3306 |
#4
Zitat Liebes GMX Mitglied,Das geschah beim ersten Versuch Jetzt müsste sie aber raus sein, die Seite wo das her ist müsste auch noch "funktionieren". Bin schon gespannt auf die Ergebnisse. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
29.11.2004, 19:57
Member
Beiträge: 1122 |
#5
Also schreibt sich mim Namen
Tskmangr in die Registry --> HKLM/Software/Mircosoft/Windows/CurrentVersion/Run Steht auch im Taskmanager als: Tskmangr.exe ca. 2,5 K Speicher ! D:\WINDOWS\SYSTEM32\tskmangr.exe Baut eine Verbindung über Port 83 auf ! Weitere Infos gibts nachher |
|
|
01.12.2004, 08:58
Member
Themenstarter Beiträge: 3306 |
|
|
|
02.12.2004, 00:20
Member
Beiträge: 813 |
#7
So furchtbar viel passiert nicht, wenn man die 'dl.exe' startet...
Die 'dl.exe' kopiert sich als versteckte Datei "Tskmangr.exe" ins system32-Verzeichnis und legt dafür ein paar Autostart-Einträge an: Zitat HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Task manager "tskmangr.exe"Außerdem kopiert sich der Wurm als 'zoneallarm_pro_crack.exe' in das neu angelegte Verzeichnis \WINDOWS\SYSTEM32\kazaabackupfiles\, und registriert diesen Ordner offenbar als "shared files"-Ordner für Kazaa, so dass sich der Wurm hierüber verbreiten kann (sofern Kazaa installiert ist). Zitat HKCU\SOFTWARE\KAZAA\LocalContent\Dir0 \WINDOWS\SYSTEM32\kazaabackupfiles\"Dann kommen noch zwei ausgehende Verbindungsversuche: Zitat 'TSKMANGR.EXE' from your computer wants to connect to w*w.estidafah.com [65.254.32.66], port 80Der zweite dient offenbar zur Verbreitung über IRC. Beide Ziel-Adressen sind 'up', aber nur auf dem ersten Rechner läuft im Moment ein entsprechender Server an Port 80. Anschließend lauscht die 'TSKMANGR.EXE' an den Ports 83 und 113 (evtl. Backdoor-Funktionalität). Das war's eigentlich. Anscheinend keine besondere Schadensfunktion. __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 02.12.2004 um 10:47 Uhr von forge77 editiert.
|
|
|
02.12.2004, 12:11
Member
Themenstarter Beiträge: 3306 |
#8
Zitat Das war's eigentlich. Anscheinend keine besondere Schadensfunktion.Ah ok das war es was ich eigentlich wissen wollte. Danke an alle die sich die Mühe gemacht haben. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
Leider hab ich kein Testsystem zur Hand, deswegen wollte ich fragen ob es jemanden gibt den das vielleicht reizen würde. Auch wenn jemand ein paar Tipps für den Aufbau von sowas hat wär das prima.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.