Forum
Tipps
News
Menu-Icon

Botnetz mit fast 2 Millionen PCs entdeckt...

Für alle die, die nach einem Trojaner- Befall ihre  PCs mit digitalem Voodoo- Zauber reinigen und für die Herrschaften, die meinen, ihr Unwissen unbedingt öffentlich machen zu müssen, indem sie bei solchen "Reinigungsarbeiten" mit (un)fachlicher Hilfe helfen:
Ein neues Botnetz mit 1,9 Millionen Teilnehmern wurde aufgespürt:

http://news.cnet.com/8301-1009_3-10223716-83.html?part=rss&subj=news&tag=2547-1_3-0-5

Wieviel "gereinigte" PCs werden da wohl mitgemacht haben?
Immerhin verdienen die Betreiber an sie 190.000$ pro Tag damit.
Können es sich also durchaus leisten, hochqualifizierte Programmierer einzusetzen.
Die sich nicht von ein paar hypergescheiten Laien mit Beschwörungsformeln ihr gut gehendes Geschäft vermiesen lassen wollen...

Jürgen



Antworten zu Botnetz mit fast 2 Millionen PCs entdeckt...:

das ist schlimm!
aber ich denke es hat auch immer mit dem Surfverhalten des Users zu tun und man kann nicht alle über einen Kamm scheren...

aber ich denke es hat auch immer mit dem Surfverhalten des Users zu tun ...
- da hast du zu 100% Recht.
Es ist keiner zu schlau, sich einen Schädling einzufangen.
Was ich aber bekämpfe, wieder und wieder - und das sowohl in den Foren, in denen ich aktiv bin, als auch in meinem privaten Umfeld, das sind die "Reinigungsvorschläge", die oft im Brustton tiefster Kenntnis vorgebracht den Hilfesuchenden irreführen.
Das es keine, auch nicht eine einzige Methode gibt, einen kompromittierten PC zu reinigen - außer "formatC" sollte inzwischen zum Grundwissen gehören.
Die einzige fachlich vertretbare Antwort auf den Hilferuf
"Ich hab einen Virus / Trojaner, was soll ich tun?"
ist "Formatieren und neu installieren!
Und sich in Zukunft schützen. Zum Beispiel damit:

http://www.computerhilfen.de/jueki/Image-Erstellung.pdf

 Ein kompromittierter PC kann mit nichts und von niemanden sicher gereinigt werden.

Jürgen

..da gebe ich dir wiederum Recht!
Doch ist ein kompromittierter Rechner nicht auffällig in seinem Verhalten..das sind doch meist die ersten Anzeichen dafür?
Man müßte es doch merken ???

@jüki

Gegen Dummheit kämpfen selbst Götter vergebens.
Also lass es lieber.
Es bringt eh nichts.

Burgeule

Burgeule
ich bin nicht dumm!

 

Doch ist ein kompromittierter Rechner nicht auffällig in seinem Verhalten..das sind doch meist die ersten Anzeichen dafür? Man müßte es doch merken ???

Ja, man sollte es bemerken.
Es ist das Ziel "guter" Internet- Krimineller, ihre Schadsoftware so zu programmieren, das der User möglichst nichts bemerkt.
Ich habe eigens für diesen Zweck zwei Vorkehrungen getroffen. Die Erste ist sowas von einfach...

 

- einfach einen Spiegel, der die Traffic- Lumis des Routers zeigt.
Wenn diese in einer Tour hektisch flackern, ohne das ich im netz bin, dann telefoniert mein PC ohne Erlaubnis mir irgend jemanden. Und da ist mein erster Griff der zum Netzschalter für die Internet- Hardware.
Die zweite Sicherung ist die Software "Traffic Monitor", die mir den laufenden Traffic anzeigt, ein- und ausgehend.
Auf meinem Haupt- PC ist mir das in den letzten Jahren nicht passiert - allerdings auf dem Test- PC erst kürzlich.
Aber dort ziehe ich einfach die betreffende Festplatte raus und formatiere diese - dann kommt das saubere Image wieder drauf - fertig.

Jürgen

man kann das alles auch im Taskmanager beobachten, also so mach ich es.

Interessant.
Wie zeigt Dir der Taskmanager Internet- Traffic an?
Nicht alle (eigentlich nur defekte) Trojaner erzeugen eine hohe, deutlich erkennbare Prozessorauslastung.
Mein letzter Trojaner, den ich mir mit einer torrent- Datei auf den Test- PC holte, hatte eine nicht erkennbare Prozessorlast zur Folge - nutzte aber die gesamte Upload- Bandbreite.

Sollte aber nicht das Thema des Threads sein - ich wollte mit meinem Start- Posting nur ein weiteres mal allzu leichtgläubige (oder auch faule) User etwas sensibilisieren.

Jürgen

Netzwerk und ich habe es beobachtet glaube mir, erst ein flackern im Router und dann sieht du den Ausschlag im Netzwerk des Taskmanagers..
wenn ich sage das ich es beobachtet und verglichen habe..dann habe ich das lange gemacht.

und dann schau ich unter den Prozessen wo die Auslastung stattfindet.

Burgeule
ich bin nicht dumm!

 

Habe ich auch nicht gesagt.

Burgeule
http://tcpview.softonic.de/  <<< mal damit die Verbindungen ansehen...

@copy
"aber ich denke es hat auch immer mit dem Surfverhalten des Users zu tun ..."


Kaum.
Denke nur mal an div. Massenhacks: http://www.heise.de/newsticker/Erneuter-Massenhack-von-Webseiten--/meldung/107786

oder an Exploittoolkits:
http://de.wikipedia.org/wiki/Metasploit
oder mpack, oder neosploit oder, oder.

Dagegen kannst Du eben gar nix machen (außer Software aktuell halten, Scripting beschränken, resp. nur mit Lynx/elinks das Web absuchen...*)-weil ja als Folge des Exploits oftmals Schadcode im Gehäuse landet, der von Scannern/Wächtern noch gar nicht erkannt wird-ist die böse Datei dann endlich an die Hersteller dieser Programme gesendet worden (z.B. vom ersgutenjungen) sind bereits ein bis zwei Tage rum...

*edit:
Oder mach's wie Richard Stallman:

"For personal reasons, I do not browse the web from my computer. (I also have not net connection
much of the time.) To look at page I send mail to
a demon which runs wget and mails the page back to me. It is very efficient use of my time, but it
is slow in real time."

Also mit wget (wirklich extrem nützlich)...

« Letzte Änderung: 22.04.09, 21:59:47 von N. Baxter »

@ jüki:
Könnte man einen link auf diesen  traffic monitor haben? Es scheint mehrere zu geben.

Un leider wollen gewisse leute Nur den meisterReiniger.Leute,die als ketzer gelten,sind nicht modern.Zu den meisterreiigern gehören die aus dem malwareteam.Aber das hast Du sicher mitbekommen.

Was anders:
Wie kann man die anzeigen von TCP view von systernals genauer analysieren? Ich habe NOD32 nun im system,hier die neuste version.Leider werden viele verbindungen angezeigt,aber ich blicke da nicht Durch.oder besser extra thema aufmachen?

Trafficmonitor? Ich verwende diesen:

http://www.trafficmonitor.de/
 

Zitat
Zu den meisterreinigern gehören die aus dem malwareteam.
Ja, deshalb begebe ich mich auch nur in Ausnahmefällen (wie eben) in dieses Forum, auch im im ähnlich gelagerten Esoterik- Forum:
http://www.esoterikforum.de
bin ich nicht angemeldet.
Es gab da schon mal eine Diskussion in "Technik- Diskussionen", noch garnicht so lange her. Da fragten die besorgten Wunderheiler verzweifelt an, warum sie nicht mehr "helfen" sollten...
Nun ja.
Genau so könnte man einem Mädchen helfen, die einmal verlorene Unberührtheit zurückzugeben...
Es wird ja immer gefragt, wie man einen Virus oder einen Trojaner beseitigen kann. Diese Antwort wird nie gegeben (wenn ich mal Glaubensfragen weglasse) - es wird immer nur geantwortet, wie man einen Schädling unsichtbar machen kann,
wie die Ölkontrolleuchte ausgeschaltet werden kann - ohne Öl nachzufüllen.
So in etwa. 

Das empfohlene Tool "TCPIPView" nutze ich ebenfalls - allerdings nicht, um daraus auf einen Malwarebefall zu schließen. Es ist mir unbekannt, wie das funktioniert.

Jürgen

Das übrigens schrieb ich in der eben von mir angesprochenen Diskussion im CH- Forum "Technikdiskussionen":

http://www.computerhilfen.de/jueki/Trojaner.pdf

Jürgen

Hintergrund meiner frage ist,das ich aufgrund von schädlingsbefall mein system neu aufsetzen Durfte.
Ich verwende derzeit NOD32 in neuster version.Leider blicke ich noch nicht Durch,warum hierbei derart viele systemprozesse eine verbindung nach außen aufbauen.Soweit ich weis,wird von dieser AV lösung der datenverkehr über HTTP und HTTPS sowie POP und POPS überwacht.

Mit TCPIPview kann man nicht unbedingt auf gäste schließen,aber man kann damit seltsame aktionen beobachten und rechtzeitig mitbekommen,wenn gäste obskure aktionen starten.

Ist Dir für den traffic monitor eine kostenfreie alternative bekannt? Gute arbeit sollte man honoieren,aber im moment möchte ich online keine software kaufen.

 

Nein, mit einer Empfehlung für einen Kostenlosen Traffic- Kontroller kann ich leider nicht dienen.

Jürgen

Kostenlose Traffic-Controller:Wireshark oder NET-Traffic Meter

C.

@w
Versuchs mal mit dem DSL-Manager 6.9 von T-online.
Der ist kostenlos.

Burgeule

@Burgeule:
Danke für den hinweis,aber gegen software von T-online bin ich allergisch.

die reslichen hinwese werde ich mir ansehen.

mfg

@w
Brauchst nicht allergisch sein.
Es ist ein winziges eigenständiges Programm welches nur die gewünschten Aufgaben erledigt.
Ich nutze es schon seit Jahren problemlos.

Burgeule
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Kann ich bestätigen das Programm von T-online ist gut.

http://www.trafficdetector.de/
  ist das vielleicht der Richtige ? 

 

Zitat
  ist das vielleicht der Richtige ?
Nö, der misst nur den Durchsatz, nicht was, wann, mit wem, von-nach usw.

C.

@w

Vielleicht gibt es *IPTraf* auch für Windows?

Ich weiß nicht, wie es bei WinXP ist, aber um beispielsweise den Traffic vom Root  bei Linux überhaupt zu sehen, mußt Du selbstverständlich auch mit Rootrechten arbeiten (also Adminkonto oder 'Ausführen als'?)...

IPtraf ist schon recht alt,ob es einen windows port gibt,weis ich nicht.Könnte da jemand beim suchen helfen

Ich hatte mal ein tool von Fsecure,das zeigte die verbindungen auf der komandozeile deutlich genauer als netstat -an
an.Aber ich habe namen und adresse vergessen.Könnte da jemand aushelfen?


Für die leute,die gerne alles genau wissen wollen,hier einige hinweise auf feine werkzeuge:
http://www.heysoft.de/Frames/f_sw_la_de.htm
http://www.systenance.com/indexdat.php
http://www.jsware.net/jsware/sviewer.php5

Was ADS sind,setze ich als bekannt voraus.


« Windows Vista: HILFE! WERDE GEHACKTWin32/trojanDownloader.Swizzor »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Botnetz
Ein Bot-Netz (englisch "Botnet") ist ein Zusammenschluss von mehreren tausend Rechnern und anderer intelligenter Geräte (zum Beispiel Smart-Home Hardware, ...

Tag
Ein Tag ist ein englischer Begriff und bedeutet so viel wie Etikett, Mal, Marke, Auszeichner und Anhänger. Generell ist Tag eine Auszeichnung eines Datenbetandes mit...

Virus
Als Computervirus bezeichnet man Programme, die sich ungewollt auf einem PC installieren und dan selbst weiterverbreiten und reproduzieren. Sie sind meistens darauf progr...