Prob. NIS 2003 Pro Outbound Medlung von ccapp.exe

#1 Hallo,

mein NIS 2003 Pro bringt inunregelmäßigen Abständen einen
Outbound Alert von ccapp.exe aus dem Symantec Shared Ordner.
Und zwar will das Teil einen Server in Singapore auf dessen Port 110 (pop3)
connecten.

Hat jemand eine Idee was das soll ?

Danke,
Buckyball

#2 Hllo ihr...

habe auch mal eine frage zu "Norton Internet Sycurity 2003".

bei mir werden über einen CommonClient (ccApp.exe) teilweise über hundert mails versendet, dessen inhalt mir genau so unbekannt ist wie der empfänger.

kann mir einer sagen was das ist bzw. wie ich das unterbinden kann...

#3 Ich habe festgestellt, dass nicht nur eine Port 110 sondern auch eine SMPT-Verbindung versucht wird. Die Pop-Anfrage (geblockt) wurde auch dann ausgeführt, wenn ich mit Outlook meine E-Mails abholen wollte.

Als die smtp-Verbindung auftrat fiel mir auf, dass die Dateien
CommonClient.dat
ccReg.dat
das gleiche Dateidatum trugen, wie der Verbindungsversuch. Wahrscheinlich sollten die übertragen werden. Darin sind einige Reg-Einträge zu Symantec. Natürlich verschlüsselt. Als ich die Verbindung zuließ, kam etwa ein Tag später der POP3-Versuch.
Übrigens ie Registrierung wurde nicht durch geführt (wär ja noch schöner) und Autoupdate war ausgeschaltet. Es bestnad also kein Anlaß für einen Internetplausch.


Was soll uns das sagen. Ein anerkannter Hersteller von Sicherheitssoftware hat ein Spy-Modul eingebaut mit eigenem Mailserver und Mailclient. Da stimmt wohl was nicht. Virus oder so ist auch unwahrscheinlich, das ccApp.exe signiert ist.

#4 Ähm dei ccapp.exe ist IMHO der Scanner für den Mailverkehr von Symantek. Natürlich wird er aktive, wenn Mails empfangen (Port 110) und gesendet (Port 25) werden.

Es handelt sich dabei um ein Programm welches auf den Ports 110 und 25 lauscht, damit er alle Mails auf Viren untersuchen kann. Hat also alles seine Ordnung.


R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#5 Ist eben nicht in Ordnung. Mir ist klar, dass ccapp.exe zwischen dem Mailclient und dem (z.B. in Outlook eingetragenen) Mailserver hängt. Diese Verbindung (Outlook zu local host Port 1028, und ccapp zum Mailserver bzw. umgekehrt) habe ich in meinen Firewallregeln explizid erlaubt. Sonst klappt es nicht mit dem Nachbarn, gelle.

Ubrigens lauscht ccapp.exe auf TCP Port 1028.

Verdächtig wird aber die Sache, wenn Outlook nicht aktiv ist und ccapp.exe von sich aus eine POP3-Verbindung zu dem Server:
213.39.130.213 = c130213.adsl.hansenet.de ???????!!!!!
aufbauen will und das ca. 2.Stunden lang im 5 Minuten-Takt. Hast du hierfür eine Erklärung parat. Wär nicht schlecht - bin nämlich ratlos.

Ich werde die Sache weiter beobachten. Ich habe den Effekt bislang nur einmal beobachtet. Mal sehen ob ich herausbekomme, was dahinter steckt. Ich hab auch mal an Heise-Online und Computerbild (oh no, I'm sorry, die haben aber ne große Redaktion) gemailt. Vielleicht wissen die mehr.

#6 bei mir werden andauernd emails an mir unbekannte empfänger versendet
die ich nie versendet habe. ich erhalte dann immer die meldungen:

Ihre E-Mail-Nachricht (die ich nie geschrieben habe) an:

fallen9334@aol.com, ladytaker8@aol.com, clinton62@aol.com,
lopdawg@aol.com cte...
(die mir alle unbekannt sind und sich nicht in meinem Outlook Express
adressbuch befinden)

mit dem betreff (bei allen ähnlich):

Refinancing your house can save you big dollars!
oder
100% approved on mortgage application...
oder
we have mortgage lenders ready to help you!
oder
Mortgage information for you!
oder
your mortgage application is pre approved....

und so weiter...

konnte nicht gesendet werden, weil die verbindung zu ihrem
mail-server unterbrochen wurde. bitte starten sie ihren email-client,
suchen sie die nachrichten im ordner "gesendete nachrichten" (wo noch
nie eine von denen aufzufinden war) und senden sie sie erneut.
(ich bin ja froh das die nich gesendet werden)

das passiert aber nur wenn ich "Symantec Common Client application"
den internetzugang gestatte.
was auch gleich immer verlangt wird, da ich alles manuell
einstelle.(warum die verschiedenen applicationen auch immer sofort
auf´s internet zugreiffen wollen??? keine ahnung)
wenn ich es nicht gestatte werden diese mails nicht
geschickt,(teilweise sind es über hundert nachrichten, bei denen ich
die fehlermeldung dann einzeln per mausklick schließen muß)
aber ich kann dann auch keine emails mehr versenden bzw. empfangen...

der besuch der seite mit ihrem online virus test hatte auch nicht
gebracht, da ich vermutet hatte mir einen wurm eingefangen zu haben,
was zum glück nicht der fall war...

ich hoffe sehr das meine beschreibung etwas nützt und mir
schnell jemand helfen kann...

grüße Mirko

#7 Ich denke schon, daß Du Dir da was eingefangen hast! Nimm bitte einen aktuelle Scanner und schau Dir mal Dein System an.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#8 hallo und danke für die antwort...

habe es schon ein paar mal getan, es wurde mir aber nichts angezeigt...

gruß Mirko

#9 Kann mir einer etwas zu diesen Regestrieeinträgen sagen???

indows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru]

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="DoSedx"
"001"="@aol.com"
"002"="ÇMAIL"
"003"="skycom"
"004"="cmail"
"005"="webfidrs xp"
"006"="webfldrs xp"
"007"="icw"
"008"="directdrawex"
"009"="directanimation"
"010"="connection manager"
"011"="branding"
"012"="mplayer2"
"013"="vb and vba"
"014"="MSXML4"
"015"="MSXML4"

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604]
"000"="skykom"


gruß Mirko

#10 @ Mirko

Ich kann Dir sagen, womit Du Dich da outest: das sind die Sucheinträge, unter denen Du im Explorer gesucht hast - seit der letzten Windows-Installation vermutlich. Erinnerst Du Dich?

(Ich habe auch gerade in der Registry seltsame Einträge gefunden, bis es mir klar war. Die 5603 ist wohl das Suchen nach "Dateien und Ordnern". Mach's doch mal auf und gib ein "B" ein, gleich wird Dir "branding" angeboten.)

Also: harmlos!

#11 Wie angekümdigt hier die Erklärung für die rätselhaften TCP-Versuche von ccapp.exe:

Diese kommen nicht von der App selbst, sondern diese fordern andere Applikationen über den Localhost (127.0.0.0) an. Insbesondere fallen unregelmäßigkeiten in Verbindung mit Filesharingtools auf.

Beispiel edonkey: Falls das Teil läuft (V0.26d) dann werden neben den eigentlichen Sharingverbindungnen allerlei andere Verbindungen versucht:
z.B. http Port 80, ftp Port 20/21 !!!!!!!, smtp Port 25 !!!, POP3 Port 110 !!!!.

Was das soll, läßt sich noch nicht sagen. Dazu werde ich den Sourcecode überprüfen. Möglicherweise hat da jemand eine backdoor eingebaut oder gefunden !!! Vorsicht !

Wenn also jemand (gutgläubig) in der Personal Firewall den gesamten Traffic für Emule (o. ä.) erlaubt hat, dann fießen mit Sicherheit unkontrolliert Daten !!!

In Verbindung mit der Kerio Personal Firewall (2.1.3 engine 3.0.0) folgender Tipp zur ersten Abwehr (ohne Gewähr):

Firewallregeln für Emule:

Die einzelenen Einträge sind jeweils mit Komma getrennt. Leider passen die Einträge nicht in eine Zeile. Folgendes Format:

Rule (Name), Protokoll, local, remote,
Applikation, Action

1.
Emule_UDP_out, UDP(out), [1024-65535], [Any Adress]:[1024-65535],
c:\programme\emule\emule.exe, Permit

2.
Emule_UDP_in, UDP(in), [1024-65535], [Any Adress]:[4661-4667],
c:\programme\emule\emule.exe, Permit

3.
Emule_UDP_Kill, UDP(both), Any port, [Any Adress]:[Any Port],
c:\programme\emule\emule.exe, Deny

4.
Emule_TCP_out, TCP(out), [1024-65535], [Any Adress]:
[3173,3532,4010,4242,4661-4667,4671,4672,5001,6699],
c:\programme\emule\emule.exe, Permit

5.
Emule_TCP_in, TCP(in), [4661-4667], [Any Adress]:[1024-65535],
c:\programme\emule\emule.exe, Permit

6.
Emule_TCP_Kill, TCP(both), [Any Port], [Any Adress]:[Any Port],
c:\programme\emule\emule.exe, Deny

7.
imme als allerletzte Rule
Kill_All, Any (both), [Any Port], [Any Adress]:[Any Port],
Any Application, Deny

Das müsste erst mal helfen und funktioniert nur, wenn man in den übrigen Regeln weiter oben keine Universal Rule eingebaut hat, die alles erlaubt. Anmerkung: Die Rules werden von obern nach unten abgearbeitet. Was man ober erlaubt hat, kann man weiter unten nicht mehr verbieten.

#12 Übrigens habe ich auch bei E m u l e (danke :-)) auch Verbindungsversuche gescannt über Port 70 (Gopher) und Port 23 (Telnet)!!

Das Ding schein kräftig zu telefonieren. Was soll uns das sagen ???

Die o. g. Firewallregeln funktionieren übrigens bei mir ganz gut. E m u l e ist sehr gefräßig und würde gern weitere UDP/TCP-Ports benutzen. Die bekommt er aber nicht bei mir. Das muss reichen. Falls man die Regel Nr. 4 nicht komplett eintragen kann, dann macht man eben zwei Regeln.

E m u l e_TCP_out01, E m u l e_TCP_out02 oder so.

Übrigens die Kommunikation über Ccapp.exe ist mir deswegen aufgefallen, da ich Ccapp.exe in den Firewallregeln lediglich den Traffic zu einem bestimmten Mailserver erlaubt habe. Outlook wird von Norton Antivirus auf den den local host auf ccapp.exe umgebogen zwecks Virencheck.

Nun bei E m u l e kommt man in die Versuchung, alle ausgehenden TCP-Verbindungen freizugeben (yes). Das bekommt man ja auch so vorgeschlagen von Kerio. Dann sind natürlich alle Tore offen und man merkt eigentlich auch nichts von einer Mail-Verbindungen.

Da nun Norton Antivirus Mailverbindungen auf den localhost umbiegt, landete auch ein POP3 bzw SMTP-Versuch von E m u l e auf dem localhost. Mit dem Unterscheid, dass irgend ein anderer E-Mail-Server adressiert wurde, als der , den man für E-Mails benutzt. Gemäß seiner Bestimmung versuchte nun ccapp.exe (Merke: das ist der E-Mail-Viren-Scanner von Norton Antivirus) die Verbindung zu dem gewünschten E-Mail-Server aufzubauen - was aber per Firewallregel verboten ist. Da wurde ich misstrauisch. Zuerst dacht ich Ccapp.exe würde telfonieren. Dann kam mir die Idee, dass eine andere App die Ursache war.

Ich mir dann die Mühe gemacht, die Kommunikation von E m u l e näher zu untersuchen. Zuerst sah es so aus, als könne man keine restriktiven Firewallregeln erstellen, denn es waren ja sehr viele Ports bei der Kommunikation beteiligt, siehe oben.

Noch Fragen?