telepathstart - malware?

#1 Hi,

ab und an mache ich mir den Spass und scanne zurück, also scanne IPs, die meine Firewall als geblockt listet, da diese mich zu scannen versuchten.

So fand ich folgendes:

Zitat

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-07-03 09:58 GMT
Insufficient responses for TCP sequencing (1), OS detection may be less accurate
Interesting ports on ???.de (85.??.??.??):
Not shown: 1217 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd or WU-FTPD
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http Apache httpd 2.0.53 ((Linux/SUSE))
110/tcp open pop3 qmail pop3d
143/tcp open imap Courier Imapd (released 2003)
443/tcp open https
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql MySQL (unauthorized)
5011/tcp open telelpathattack
5232/tcp open sgi-dgl
5977/tcp open ncd-pref-tcp
6400/tcp open crystalreports
7070/tcp open realserver
8021/tcp open ftp-proxy
10000/tcp open http Webmin httpd
13701/tcp open VeritasNetbackup
13716/tcp open VeritasNetbackup
18182/tcp open opsec_ufp
31337/tcp open Elite
2 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints [..]
Running: Linux 2.4.X
OS details: Linux 2.4.19 - 2.4.20, Linux 2.4.21 (Suse), Linux 2.4.21 (x86 SuSE)
Service Info: Host: localhost

Mich interessiert dabei "Port 5011 telepathattack"

http://www.avaren.com/nmap_port_list.htm nennt:

Zitat

5010 TCP telelpathstart TelepathStart Solo
5010 UDP telelpathstart TelepathStart
5011 TCP telelpathattack TelepathAttack One of the Last Trojans - OOTLT, One of the Last Trojans - OOTLT, modified
5011 UDP telelpathattack TelepathAttack

Laut http://www.glocksoft.com/trojan_list/One_of_the_Last_Trojans_OOTLT.htm ist es ein Wurm.

Interessanterweise ist die Seite, die nmap nennt , ???.de, erreichbar und nennt dort
"zum Login:
Server Administrator
Virtual Server Administrator
Domain Administrator"

Bringt es etwas den Provider der IP anzuschreiben damit der Wurm-Rechner vom Netz kommt?

Ist das nun ein *IX System oder eine Wind*-Maschine? Laut One_of_the_Last_Trojans_OOTLT.htm ist der Wurm eine .exe
__________
Gruß
Rava

#2 naja... du könntest es auch einfach in Ruhe lassen zum Beispiel.
Aber du scheinst ja sonst keine anderen Probleme zu haben, also schreib den Provider an... wie du willst. Ich finds jedenfalls nicht sehr beunruhigend
__________
Die Schwierigkeiten werden immer Größer, je näher man dem Ziel kommt (J. W. Goethe)

#3

Zitat

Myrthan postete
naja... du könntest es auch einfach in Ruhe lassen zum Beispiel.

Einen aktiven Wurm. Na Klar. Es gibt ja noch nicht genug von denen, und es sollen gefälligst noch mehr werden...

Zitat

Myrthan posteteAber du scheinst ja sonst keine anderen Probleme zu haben, also schreib den Provider an... wie du willst. Ich finds jedenfalls nicht sehr beunruhigend

Ein aktiver Wurm "nicht sehr beunruhigend"? Wenn Du meinst.

Und zu "du scheinst ja sonst keine anderen Probleme zu haben" : wer soll denn sonst etwas gegen wurmverxxxte Systeme unternehmen? Der Cracker der sie installiert hat? Oder die Admins/Nutzer, auf deren Rechner er liegt und weitere Systeme infizieren will?

Bin ich hier im falschen Forum? Ich dachte, es geht um sicherheitsrelevante Themen. Wurmrechner von Netz zu bekommen scheint zumindest für Dich nicht sicherheitsrelevant zu sein ...
__________
Gruß
Rava