[HaBo]

olli · 05.09.04, 00:13

Hallo!

Ich hab ein kleines Problem ... !
Heute ist mir aufgefallen, dass sich ein Programm namens

"SMCG.EXE"

in meinen Prozessen befindet.
Suche ergab, dass es sich hier um einen Backdoor handelt.
Irgendwie hat jemand dieses Programm auf meinem Rechner installiert ohne, dass ich etwas gemerkt habe.
Ich hab die ganze Zeit eine Gut-Konfigurierte FW an gehabt. (Zu viel Vertrauen in ein Stück Software , das ich jetzt wohl Verloren habe)

Das Programm versucht sich die ganze Zeit zu verbinden:

39-209.235.***.dellhost.com [209.235.17.***], port 5453
localhost [127.0.0.1], port 5453

ich habe schnell ein kleines Programm mit einem Server auf dem Port 5453 programmiert. Außerdem zeigt es alle Daten an, die der client sendet.
Sofort hat sich die smcg.exe mit meinem Prog verbunden und es versand folgende Daten:

NICK [UNC]83631 USER cguye 0 0: [UNC]83631

Was soll das sein???? Sieht aus wie IRC Befehle, oder ?
Tatsächlich befindet sich hinter der IP und dem Port ein Irc-server!!!!

Was hat das alles für einen Sinn? Wie funktioniert dieser Backdoor?
Ich hoffe ihr könnt mir helfen ...

Mein System:
Windows XP Prof + SP1
KerioPFW

Ray · 05.09.04, 00:24

Von den Daten, die du geposted hast, würde ich auf ein Botnet schliessen. Dein Trojaner verbindet sich mit dem IRC-Server und wird so für den Betreiber des Botnets sichtbar. Dort warten solche Bots je nach Funktionalität auf Befehle. Botnets können z.B. zum DDOSen oder zum Spammen benutzt werden.

Einfangen kann man sich so ein Teil auf vielen Wegen.

Anzeige

- Anzeige -

**Mackz** · 05.09.04, 00:25

Hi.
Auf folgender Seite gibts weitere Informationen dazu: http://fr.trendmicro-europe.com/cons...=WORM_SDBOT.QY
(Da findest du auch Infos wie du das Ding wieder beseitigen kannst.)

Es ist also ein Worm, der auch Backdoor Funktionen besitzt.
Er verbindet sich mit dem IRC Server, joint den bestimmten Channel und erhält Befehle von einem IRC Bot, der sich dort befindet. Auf diese Befehle reagiert der Worm und sendet bestimmte Informationen zurück. Zum Beispiel spioniert er CD-Keys, Produkt IDs, Registrierungsnummern. Außerdem können so DDoS Attacken durchgeführt werden.

olli · 05.09.04, 00:32

@Damien

Also ist das jetzt als Massen-Angriff zu interpretieren und keineswegs, wie ich befürchtete, ein Angriff, der speziell auf mich ausgerichtet war.
THX

@Mackz

Beseitigen ist ja kein Problem

Ich wollte nur wissen wie das Ding funktioniert...
Hat sich ja jetzt geregelt!
THX

Aso ... naja dann wars wohl halb so schlimm ...

ghostdog · 05.09.04, 00:44

am besten hilft auf

umsteigen ;D
unter windows brauchst du dich gar nicht sicher zu fühlen, mit oder ohne firewall. es sei denn du hängst hinter 10 firewalls die im zweifelsfall alle sich gegenseitig abschalten sodass die datenpakete noch rechtzeitig hängenbleiben.

olli · 05.09.04, 12:10

Ich hab mich noch nie unter Windows sicher gefühlt

Ich würde eigentlich auf Windows verzichten, aber ohne Games halt ich das nicht aus. Zocken auf Linux ist ja ne Sache für sich .....
Heute werde ich meinen Debian Rechner erstmal als Router vor schalten! (Dass ich nicht vorher auf die Idee gekommen bin!)

mfg Olli

Anzeige

- Anzeige -

05.09.04, 00:13	#1 (permalink)
olli Registriert seit: 25.10.03 Likes: 0	SMCG.EXE\|IRC\|Backdoor\| Anzeige Hallo! Ich hab ein kleines Problem ... ! Heute ist mir aufgefallen, dass sich ein Programm namens "SMCG.EXE" in meinen Prozessen befindet. Suche ergab, dass es sich hier um einen Backdoor handelt. Irgendwie hat jemand dieses Programm auf meinem Rechner installiert ohne, dass ich etwas gemerkt habe. Ich hab die ganze Zeit eine Gut-Konfigurierte FW an gehabt. (Zu viel Vertrauen in ein Stück Software , das ich jetzt wohl Verloren habe) Das Programm versucht sich die ganze Zeit zu verbinden: 39-209.235.*.dellhost.com [209.235.17.*], port 5453 localhost [127.0.0.1], port 5453 ich habe schnell ein kleines Programm mit einem Server auf dem Port 5453 programmiert. Außerdem zeigt es alle Daten an, die der client sendet. Sofort hat sich die smcg.exe mit meinem Prog verbunden und es versand folgende Daten: NICK [UNC]83631 USER cguye 0 0: [UNC]83631 Was soll das sein???? Sieht aus wie IRC Befehle, oder ? Tatsächlich befindet sich hinter der IP und dem Port ein Irc-server!!!! Was hat das alles für einen Sinn? Wie funktioniert dieser Backdoor? Ich hoffe ihr könnt mir helfen ... Mein System: Windows XP Prof + SP1 KerioPFW

05.09.04, 00:25	#3 (permalink)
Mackz Administrator Registriert seit: 02.10.01 Likes: 30	Hi. Auf folgender Seite gibts weitere Informationen dazu: http://fr.trendmicro-europe.com/cons...=WORM_SDBOT.QY (Da findest du auch Infos wie du das Ding wieder beseitigen kannst.) Es ist also ein Worm, der auch Backdoor Funktionen besitzt. Er verbindet sich mit dem IRC Server, joint den bestimmten Channel und erhält Befehle von einem IRC Bot, der sich dort befindet. Auf diese Befehle reagiert der Worm und sendet bestimmte Informationen zurück. Zum Beispiel spioniert er CD-Keys, Produkt IDs, Registrierungsnummern. Außerdem können so DDoS Attacken durchgeführt werden. __________________ RL sux big time... auch 2012! Deleting pr0n is like killing your best friend [HaBo] bei Facebook - Werde Fan

05.09.04, 00:44	#5 (permalink)
ghostdog Senior Member Registriert seit: 18.05.04 Likes: 0	am besten hilft auf umsteigen ;D unter windows brauchst du dich gar nicht sicher zu fühlen, mit oder ohne firewall. es sei denn du hängst hinter 10 firewalls die im zweifelsfall alle sich gegenseitig abschalten sodass die datenpakete noch rechtzeitig hängenbleiben. __________________ Die neuen Desire Z und Desire HD Smartphones

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Windows Backdoor	Cyberm@ster	(In)security allgemein	4	16.05.08 13:28
Backdoor.Bifrose.wj	carbon1980	(In)security allgemein	4	12.10.07 19:26
Backdoor?	schmidtl_dd	(In)security allgemein	6	14.01.06 11:51
BackDoor-CGZ	franzi	Virenschutz · Tools & Aggressive Software	8	18.02.05 22:50

05.09.04, 00:24	#2 (permalink)
Ray Registriert seit: 06.08.02 Likes: 0	Von den Daten, die du geposted hast, würde ich auf ein Botnet schliessen. Dein Trojaner verbindet sich mit dem IRC-Server und wird so für den Betreiber des Botnets sichtbar. Dort warten solche Bots je nach Funktionalität auf Befehle. Botnets können z.B. zum DDOSen oder zum Spammen benutzt werden. Einfangen kann man sich so ein Teil auf vielen Wegen.

05.09.04, 00:32	#4 (permalink)
olli Themenstarter Registriert seit: 25.10.03 Likes: 0	@Damien Also ist das jetzt als Massen-Angriff zu interpretieren und keineswegs, wie ich befürchtete, ein Angriff, der speziell auf mich ausgerichtet war. THX @Mackz Beseitigen ist ja kein Problem Ich wollte nur wissen wie das Ding funktioniert... Hat sich ja jetzt geregelt! THX Aso ... naja dann wars wohl halb so schlimm ...

05.09.04, 12:10	#6 (permalink)
olli Themenstarter Registriert seit: 25.10.03 Likes: 0	Ich hab mich noch nie unter Windows sicher gefühlt Ich würde eigentlich auf Windows verzichten, aber ohne Games halt ich das nicht aus. Zocken auf Linux ist ja ne Sache für sich ..... Heute werde ich meinen Debian Rechner erstmal als Router vor schalten! (Dass ich nicht vorher auf die Idee gekommen bin!) mfg Olli

[HaBo]

SMCG.EXE|IRC|Backdoor|