Port of Doom - Port 3700 - infizierte Firefoxdatei?

#0
02.10.2006, 15:28
...neu hier

Beiträge: 3
#1 Hallo, ich habe eine List im Netz gefunden in der Trojaner gefährdete Ports aufgelistet werden. Sollte man diese besser alle schließen insofern einer von ihnen geöffnet ist?

Habe nämlich z.B ein Protal of Doom im Port 3700 geöffnet. Die FIREFOX.EXE sitz dort. Ist das normal oder heißt das jetzt, dass die Datei infiziert ist?

Wie ist denn ansonsten diese Liste zu verstehen?


Port Kennzeichnung
2 Death
7 echo
9 discard
11 systat
13 daytime
17 qotd
18 msp Message Send Protocol
20 ftp-data
21 Back Construction; Blade Runner; Doly Trojan; Fore; 7tp trojan; Invisible FTP; Larva; MBT; Motiv; Ne
22 abc
23 Prosiak (telnet); Tiny Telnet Server; Truva Atl; Telnet; Wingate
25 Aji; Antigen; Email Password Sender; Email Worms; Gip; Happy99/Ska; Haebu Coceda; Loveletter; Kuang2
31 Agent 31; Hackers Paradise; Masters Paradise; Masters Paradise.80
41 DeepThroat
43 whois
48 DRAT
50 DRAT
53 Bonk (DoS)
58 DMSetup
59 DMSetup
79 Firehotcker
80 Back End; Executor; Hooker; RingZero
88 kerberos
94 Tivoli Object Dispatcher
99 Hidden Port
109 pop2
110 ProMail trojan
111 rpc SUN Remote Procedure Call
113 Invisible Identd Deamon; Kazimas
118 Infector 1.4.2
119 Happy99/Ska
121 JammerKillah; BO jammerkilla
123 Net Controller
133 Farnaz
137 netbios nameservice
146 Infector 1.x
170 A-Trojan
220 pop3
315 The Invasor
421 (TCP Wrappers)
443 SSL
456 Hackers Paradise
531 Rasmin
555 Ini-Killer; NeTAdministrator; Phase Zero; Stealth Spy
606 Secret Service
666 Attack FTP; Satanz Backdoor
667 SniperNet
669 DP Trojan
692 GayOL
777 Aim Spy
808 WinHole
815 Everyone's Darling
911 Dark Shadow
999 DeepThroat
1000 Der Spaeher 3
1001 Der Spaeher 3; Le Guardian; Silencer; WebEx
1003 BackDoor 2.0x
1010 Doly Trojan 1.3 + 1.35; CafeIni 0.9 (1010:1100)
1011 Doly Trojan 1.1/1.2
1012 Doly Trojan 1.5
1015 Doly Trojan 1.6
1016 Doly Trojan
1020 Vampire
1024 NetSpy, Latinus
1025 NetSpy; Maverick's Matrix; RemoteStorm
1029 InCommand
1033 NetSpy
1042 Bla 1.1
1045 Rasmin
1047 GateCrasher.b, GateCrasher.c
1050 MiniCommand
1080 WinHole; Wingate
1081 WinHole
1082 WinHole
1083 WinHole
1090 Xtreme
1095 Rat
1097 Rat
1098 Rat
1099 BFevolution, Rat
1100 CafeIni 0.9 (1010:1100)
1137 MTX
1170 Psyber Stream Server, Streaming Audio Trojan; Voice
1200 NoBackO
1201 NoBackO
1207 SoftWAR
1208 Infector 1.3 + 1.4.1
1212 Kaos
1225 Scarab
1234 Ultors Trojan; SubSeven 2.0
1243 BackDoor-G; SubSeven; Sub7(*); SubSeven Apocalypse; Tiles
1245 VooDoo Doll
1255 Scarab
1256 Project nEXT
1269 Maverick's Matrix
1313 NETrojan
1338 Millenium Worm
1349 BO DLL
1352 Lotus Notes / Domino
1441 RemoteStorm
1492 FTP99CMP; Back.Orifice.FTP
1509 Psyber Streaming Server
1524 Trin00 (DDoS)
1600 Shivka-Burka
1700 Rux.Tick
1777 Scarab
1784 Snid X2
1807 SpySender
1966 Fake FTP
1969 OpC BO
1981 Shockrave
1999 BackDoor; BackDoor 1.00-1.03; BackDoor 2.x; TransScout 1.x
2000 Der Spaeher 3; TransScout; Insane Network
2001 Der Spaeher 3; TransScout; Trojan Cow
2002 TransScout
2003 TransScout
2004 TransScout
2005 TransScout
2023 HackCity Ripper Pro
2080 WinHole
2115 Bugs
2140 Deep Throat (all versions); The Invasor
2208 Rux.PSW
2283 HLV Rat 5; Rat
2300 Xplorer
2565 Striker
2583 WinCrash 2
2600 Digital RootBeer
2718 The Prayer 2
2773 BackDoor-G; SubSeven; Sub7(*)
2801 Phineas Phucker
2989 Rat 1.2
3000 Remote Shutdown
3024 WinCrash
3128 RingZero
3129 Masters Paradise; MastersParadise.92
3150 Deep Throat; Deep Throat 10; The Invasor
3456 Teror Trojan
3459 Eclipse 2000; Sanctuary
3586 Snid X2
3700 Portal of Doom (PoD); al of Doom
3791 Total Eclipse (FTP)
3801 Total Eclipse
4000 Skydance
4092 WinCrash
4242 Virtual hacking Machine
4245 Rux.Backdoor
4321 BoBo; Schoolbus 1.0
4444 Prosiak; Swift remote
4567 File Nail
4590 ICQTrojan
4711 Olfactor
4950 ICQTrojan; Icq Trojan
5000 Bubbel; Back Door Setup; Blazer 5; Socket 23; Sockets de Troie
5001 Back Door Setup; Sockets de Troie
5011 OOTLT
5031 NetMetropolitan 1.0; NetMetropolitan 1.04
5032 NetMetropolitan 1.04
5321 Firehotcker
5333 Backage Trojan Box 3
5343 WCrat
5400 Blade Runner; Back Construction 1.2
5401 Blade Runner 1.x; Back Construction
5402 Blade Runner 2.x; Back Construction
5512 Illusion Mailer
5521 Illusion Mailer
5550 Xtcp 2
5555 ServeMe
5556 BO Facil; H0rtiga
5557 BO Facil
5569 RoboHack
5598 BackDoor 2.03
5637 PC Crasher
5638 PC Crasher
5698 BackDoor.203
5714 WinCrash; WinCrash 3
5741 WinCrash; WinCrash 3
5742 WinCrash
5881 Y3K RAT
5882 Y3K RAT
5888 Y3K RAT
5889 Y3K RAT
5991 nuxsl - Network UniX Shell Logger www.nuxsl.org
6000 The Thing; APStrojan
6006 The Thing; APStrojan
6272 Secret Service
6400 The Thing; APStrojan
6500 Devil 1.03
6666 TCPshell.c
6667 Schedule Agent
6669 Host Control; Vampyre 1.0
6670 DeepThroat; BackWeb Server; WinNuke eXtreame
6711 BackDoor-G; SubSeven; Sub7(*)
6712 BackDoor-G; SubSeven; Sub7(*); Funny Trojan
6713 BackDoor-G; SubSeven; Sub7(*)
6723 Mstream
6767 NT Remote Control
6771 DeepThroat
6776 2000 Cracks; BackDoor-G; SubSeven; Sub7(*)
6789 Doly Trojan
6838 Mstream
6883 DeltaSource
6912 Shit Heep
6939 Indoctrination; Gatecrasher.a
6969 GateCrasher; IRC 3; NetController; Priority
6970 GateCrasher
7000 BackDoor-G; SubSeven; Sub7*; Remote Grab; Kazimas
7001 Freak88
7201 NetMonitor
7215 BackDoor-G; SubSeven; Sub7(*)
7300 NetMonitor
7301 NetMonitor
7306 NetMonitor
7307 NetMonitor
7308 NetMonitor
7424 Host Control
7597 Qaz
7609 Snid X2
7789 Back Door Setup; ICQKiller
7983 Mstream
8080 RingZero
8787 Back Orifice 2000; BO2K(*)
8897 HackOffice Armageddon
8989 Rcon
9000 Netministrator
9325 Mstream
9400 InCommand
9494 Tivoli
9872 Portal of Doom (PoD)
9873 Portal of Doom (PoD)
9874 Portal of Doom (PoD)
9875 Portal of Doom (PoD)
9876 Cyber Attacker; Rux.Backdoor
9878 TransScout
9989 iNi-Killer
9999 The Prayer 1
10067 Portal of Doom (PoD)
10085 Syphillis
10086 Syphillis
10101 BrainSpy
10167 Portal of Doom (PoD)
10520 Acid Shivers
10528 Host Control
10607 Coma
10666 Ambush
11000 Senna Spy; Senna Spy Trojans
11050 Host Control
11051 Host Control
11223 Progenic Trojan; Secret Agent
12076 GJamer; MSH.104b
12223 Hack'99 KeyLogger
12345 GabanBus; NetBus 1.x; NetBus 1.7(*); Pie Bill Gates; WhackJob; X-bill
12346 GabanBus; NetBus 1.x; NetBus 1.7(*); X-bill
12349 BioNet
12361 Whack-a-mole
12362 Whack-a-mole
12623 DUN Control
12624 Buttman
12631 WhackJob; WhackJob.NB1.7
12701 Eclipse 2000
12754 Mstream
13000 Senna Spy
13010 Hacker Brazil
13700 Kuang2 The Virus
14456 Solero
14500 PC Invader 0.7
14501 PC Invader 0.7
14502 PC Invader 0.7
14503 PC Invader 0.7
15000 NetDaemon 1.0
15092 Host Control
15104 Mstream
16484 Mosucker
16660 Stacheldraht (DDoS)
16772 ICQ Revenge
16969 Priority
17166 Mosaic
17300 Kuang2 The Virus
17490 CrazyNet
17500 CrazyNet
17569 Infector 1.4.x + 1.6.x
17777 Nephron
18753 Shaft (DDoS)
19864 ICQ Revenge
20000 Millennium II
20001 Millennium
20002 AcidkoR
20034 NetBus 2.0 Pro; NetRex; WhackJob
20203 Chupacabra; Logged!
20331 Bla
20432 Shaft (DDoS)
21544 GirlFriend
21554 GirlFriend; Schwindler; Schwindler 1.82; WinSp00fer; Kidterror
22222 Prosiak
23005 Net Trash 1.0
23023 Logged
23432 Asylum
23456 Evil FTP; Ugly FTP; WhackJob
23476 Donald Dick
23477 Donald Dick
26274 Delta Source
26681 Spy Voice
27374 BackDoor-G; SubSeven; Sub7(*)
27444 Trin00 (DDoS)
27665 Trin00 (DDoS)
28431 Hack'a'Tack
28432 Hack'a'Tack
29104 Host Control
29891 The Unexplained
30001 Terr0r32
30029 AOL Trojan
30100 NetSphere 1.27a; NetSphere 1.31
30101 NetSphere 1.27a; NetSphere 1.31
30102 NetSphere 1.27a; NetSphere 1.31
30103 NetSphere 1.31
30133 NetSphere Final
30303 Sockets de Troie; Socket 23
30947 Intruse
30999 Kuang2
31335 Trin00 (DDoS)
31336 BOWhack; ButtFunnel
31337 BackFire; Baron Night; Back Orifice, BackOrificeLM.LEENTech; BO client; BO2K(*); Bo Facil; Deep BO;
31338 Back Orifice; ButtFunnel; DeepBO; NetSpy DK
31339 NetSpy DK
31554 Schwindler
31666 BOWhack; BOWackmole
31778 Hack'a'Tack
31785 Hack'a'Tack
31787 Hack'a'Tack
31788 Hack'a'Tack
31789 Hack'a'Tack
31790 Hack'a'Tack
31791 Hack'a'Tack
31792 Hack'a'Tack
32100 Peanut Brittle; Project nEXT
32418 Acid Battery
33333 Blakharaz; Prosiak
33577 PsychWard
33777 PsychWard
33911 Trojan Spirit 2001a
34324 BigGluck; TN; Tiny Telnet Server
34555 Trin00 (Windows) (DDoS)
35555 Trin00 (Windows) (DDoS)
37651 YAT
40412 The Spy
40421 Agent 40421; Masters Paradise; Master Paradise .96
40422 Masters Paradise 1.x
40423 Masters Paradise; Masters Paradise .97
40425 Masters Paradise
40426 Masters Paradise 3.x
41666 Remote Boot
43210 Schoolbus 1.6 / 2.0
44444 Prosiak
47262 Delta Source
49301 Online Keylogger
50505 Sockets de Troie
50766 Fore; Schwindler
51996 CafeIni
53001 Remote Windows Shutdown
53217 Acid Battery 2000
54283 BackDoor-G; SubSeven; Sub7(*)
54320 Back Orifice 2000; BO2K(*)
54321 Schoolbus .69-1.11 + 1.6 + 2.0; Back Orifice 2000; BO2K(*)
57341 NetRaider
58339 ButtFunnel
60000 Deep Throat 2.0 / 3.0
60068 Xzip 6000068
60411 Connection
61348 Bunker-Hill
61466 Telecommando
61603 Bunker-Hill
63485 Bunker-Hill
65000 Devil Trojan 1.03; Stacheldraht (DDoS)
65432 The Traitor
65535 R
Seitenanfang Seitenende
02.10.2006, 19:44
Member

Beiträge: 647
#2 Ein Virenscanner könnte dir da auskunft geben ;)

BTW: DIe Portliste ist zwar ganz nett, aber es gibt auch genügend "normale" Programme die Ports aus diesem Adressbereich benutzen können, ein klarer Indikator ist somit ein Dienst der auf solch einem Port lauscht nicht.

Vor allem, bist du sicher das der Port 3700, den Firefox verwendet, nicht der lokale ist? Nur wenns ein Remote-Port wäre würde ich mir Gedanken machen. Womit hast du denn deinen Rechner geprüft?
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
03.10.2006, 16:22
...neu hier

Themenstarter

Beiträge: 3
#3

Zitat

heptamer666 postete
Vor allem, bist du sicher das der Port 3700, den Firefox verwendet, nicht der lokale ist? Nur wenns ein Remote-Port wäre würde ich mir Gedanken machen. Womit hast du denn deinen Rechner geprüft?
Hi heptamer666,

meinst du etwa mit lokalem Port, TCP oder UDP? Und was wäre denn der Remote-Port?

Habe eine Analyse mit HiJackFree durchgeführt. Und heraus kam, dass Firfox an etwa 50 Ports sitz und der 3700 TCP soll ein Portal of Doom sein.
Das hier meine ich-->...http://analyze.hijackfree.com/analyze/details%5C?type=port&name=3700

Also ich würde gerne einmal wissen, ob Firfox überhaupt so viele TCP Ports braucht
und
was den überhaupt ein "Portal of Doom" ist.

Danke schon mal für deine Antwort
Seitenanfang Seitenende
04.10.2006, 12:47
Member

Beiträge: 647
#4

Zitat

Janek postete
Hi heptamer666,

meinst du etwa mit lokalem Port, TCP oder UDP? Und was wäre denn der Remote-Port?
Nein, das meine ich nicht. TCP und UDP sind Protokolle, und spielen hier keine Rolle (hey, das reimt sich *g)
Unter Windows 2k oder XP ist es üblich das jedes programm einen lokalen Port (also auf deinem rechner erstmal) öffnet, über diesen es dann mit den entsprechenden Diensten kommuniziert (per TCP-IP Stack zum Beispiel) und sich dann über diesen Dient nach "draussen" verbindet (also remote). "Gefährlich" wäre hier immer der remote-port, falls dieser von ausserhalb ansprechbar ist und dort ein Dienst lauscht. Schau doch mal einfach mit TCPView nach was da genau passiert auf deinem Rechner, und mach davon mal ein Bildschirmfoto, das ist denke ich mal aussagekräftiger.

Zitat

Habe eine Analyse mit HiJackFree durchgeführt. Und heraus kam, dass Firfox an etwa 50 Ports sitz und der 3700 TCP soll ein Portal of Doom sein.
Das hier meine ich-->...http://analyze.hijackfree.com/analyze/details%5C?type=port&name=3700
Nun, wenn du viele Fenster auf hast oder noch Zusatzmodule verwendest, kann das schon passieren - da kann dir aber keiner was zu sagen solange du keine brauchbaren Informationen liefert.

Zitat

Also ich würde gerne einmal wissen, ob Firfox überhaupt so viele TCP Ports braucht
und
was den überhaupt ein "Portal of Doom" ist.
Siehe oben, und ein "Portal of Doom" ist eine Trojaner-Software, welche aber jeder halbwegs aktuelle Virenscanner erkennen müsste.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende