Neue Spammethode via Windows Nachrichtendienst

#1 Ich zitiere mal von heise.de:

Spammer haben ein neues Medium für ihre unerwünschten Werbesendungen ausgemacht. Verstärkt gehen sie dazu über, den Windows-Nachrichtendienst für ihre Zwecke einzuspannen. Mit dem Dienst können sie Windows-Benutzern Nachrichten zukommen lassen, die direkt, ohne zwischengeschaltete Firewall, ans Internet angeschlossen sind. Anzeige


Die Spammer benötigen nicht einmal, wie bei klassischer Spam, E-Mail-Adressen der Opfer; die IP-Adresse reicht. Mit speziellen Tools können Spammer Nachrichten an komplette IP-Adressbereiche zustellen, zum Beispiel an alle Kunden eines Providers. Nachdem die neue Spam-Methode in den USA bereits im großen Stil eingesetzt wird, erreichen heise online die ersten E-Mails Betroffener aus Deutschland.

Der Windows-Nachrichtendienst dient eigentlich dazu, im lokalen Netz Sofortnachrichten zu verbreiten. XP installiert den Dienst per Default und ruft ihn bei jedem Systemstart im Hintergrund auf. Auch Windows 2000 enthält den Dienst und startet ihn beim Hochfahren. In anderen Windows-Versionen lässt sich der Dienst ebenfalls installieren; dort ist er aber nicht per Default aktiv. In englischen Windows-Versionen nennt sich der Dienst Messenger, er hat aber nichts mit dem hauseigenen Instant Messenger zu tun.


Wie deaktiviere ich den Dienst?

Windows 2000

Click Start->Programs->Administrative Tools->Services
Scroll down and highlight "Messenger"
Right-click the highlighted line and choose Properties.
Click the STOP button.
Select Disable or Manual in the Startup Type scroll bar
Click OK

Windows XP

Click Start->Control Panel
Click Performance and Maintenance
Click Administrative Tools
Double click Services
Scroll down and highlight "Messenger"
Right-click the highlighted line and choose Properties.
Click the STOP button.
Select Disable or Manual in the Startup Type scroll bar
Click OK


Windows 98/ME

Remove the file and printer sharing from your network configuration
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#2 Windows 98/ME

Remove the file and printer sharing from your network configuration

hmm
toll
dann kann ich keine Daten mehr im Netzwerk austauschen
und Drucker geht auch nimmer

Wie wärs mit Port 139 ins inetsperre?
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#3 Natürlich bietet auch Windows 98/Me eine andere Variante:

Einfach in den Eigenschaften der Netzwerkumgebung (oder Start - Systemsteuerung - Netzwerk) auf TCP/IP --> (WAN-Adapter) Eigenschaften klicken, dort in den Reiter Bindings und dann das Häkchen bei "Datei- und Druckerfreigabe" rausmachen - und schon funktioniert es!

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#4 Bei 98 sollte es auch einfach reichen das ich mich beim Start nicht anmelde dann
funktioniert Netbios doch auch nicht ?
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#5 bei win9x (95/98&me/se) sollte es reichen winpopup nicht zu starten

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#6 diese Spammethode hört sich ja echt interessant an!
Hat jemand eine genauere Instruktion wie das funktioniert? Vieleicht könnte man hier dann einen Schutz entwickeln!?

eine Screenshot eines solchen Spammings wäre auch super genial!

Greetz Lp

#7 mal vereinfacht ausgedrückt, sollte es so gehen:

net send 192.168.1.11 Messagetext

Das wäre die Methode dies in einem Windows Netz an einen einzelnen Client zu senden. Dann gibt es Tools die das für ganze IP Adressbereiche machen - fertig ist der Spam.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#8 Ich weiß nur das es über den windows nachrichten dienst läuft
laut der windows beschreibung
"Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern.
Dieser Dienst ist nicht mit Windows Messenger verwandt.
Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird.
Falls dieser Dienst deaktiviert wird, können die Dienste,
die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden."

Also eigentlich kann jeder Privat Pc das deaktivieren zumindestens habe ich keine Probleme damit
das ganze läuft über den port 135 den man eh gegenüber den internet
sperren sollte

Über die Konsole gibt man Net send ein Ip und die Nachricht um eine solche Nachricht zu verschicken

Hab versucht ob man die Nachrichten sniffen kann habs mit Packetmon versucht der
meint es wären icmp nachrichten obwohls udp packete sind hat also keine
brauchbaren Infos geliefert

Falls die Daten im klartext übertragen werden sollte man einen Filter bauen der
Nachrichten mit http://www. irgendwas löscht warnmeldungen kommen dann noch durch
aber es dauert net lang und sie verschicken die nachrichten ohne www

Achja und happy coding
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#9 Hier die gewünschten Screenshots - nur für Laserpointa

Mhh, Url sollte ich wohl auch posten: http://www.mynetwatchman.com/kb/security/articles/popupspam/

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#10 Hier eine Anleitung zum deaktivieren des Nachrichtendienstes unter Windows XP und Win 98,ME!

http://www.trojaner-info.de/nachrichtendienst/index.html

Bei anderen Betriebsystem wirds wohl ähnlich funktionieren, denke ich!
Einfach ausprobieren!

MfG derderbste

#11 Das Problem ist aber, daß dies weniger über den Nachrichtendienst läuft, als mehr über RPC. Deswegen könnte man den RPC-Service deaktivieren - jedoch hat das wohl weitere Folgen.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#12 Welche folgen hätte es RPC abzuschalten?
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#13 Nun ja, sagen wir es mal so:

Eigentlich genügt es den Nachrichtendienst abzuschalte, dann wird die Nachricht nicht angezeigt, der Rechner nimmt sie aber trotzdem entgegen. Wenn Du den RPC abschaltest, sollte es nur Probleme geben, wenn der Rechner Teil eines Netzwerkes ist. Jedoch sollte es völlig ausreichen die entsprechenden Ports auf der Internet-Nic zu blockieren.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#14 Unter Xp kann ich denn RPC nicht deaktivieren und wenn ich es über Taskmanager mache fährt der pc runter man kann ihn also anscheind nicht deaktivieren
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#15 Ist auch besser, dass Du den nicht deaktivierst kannst. Kann Effekte der Art nach sich ziehen, daß Du ihn über die üblichen Windowsflächen nicht mehr aktivieren kannst, da die Eigenschaftsfenster generell (!) nicht mehr erscheinen.
Es bleibt dann nur die Wiederherstellungskonsole, über die Dienste ebenfalls a-und deaktiviert werden können. Aber das ist keine Spaß ....
Man sehe sich die Dienste an, die von RPC abhängig sind....
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen