[HaBo]

zero-9 · 22.09.08, 01:33

Guten Abend,

ich hab vorhin durch Zufall mal meine Verbindungen per netstat überprüft. Dabei sprang mir eine Verbindung ins Auge, die ich nicht zuordnen konnte: hosted.by.alphared.com (über http).

Also habe ich mal Google angestrengt und herausgefunden, dass Alphared ein Hoster ist und die eben genannte Domain sehr gerne von KAV2008 zum Update der proaktiven Liste benutzt wird. Das Problem: Ich benutze den KAV nicht, sondern Antivir.
Komischerweise konnte ich hosted.by.alphared.com nicht anpingen. Auch ein Tracert schlug fehl.
Von nun an beobachtete ich meine Verbindungen per TCPview von sysInternals. Nach ein paar Mal Firefox 3 neustarten, zeigte mir TCPview die Verbindung nicht mehr an. Dafür zwei andere unbekannte: eine ging jetzt zu hosted-by.leaseweb.com.

Die andere war eine IP (66.132.235.54), der Domainname war zT mit Sternchen verschlüsselt, die sich auf Port 443(!) verbunden hat. Komischerweise zeigte TCPview an, dass die Verbindung vom Prozess "System" ausgeführt wurde. Ein tracert ergab keine wirklichen Ergebnisse und auch Google spuckte nichts aus.

Kann mir irgend jemand weiterhelfen? ich finde diese Vorgänge äußerst dubios und kann keine gescheiten Informationen finden.

01 · 22.09.08, 11:07

Das nächste wäre dann ja vielleicht ein Sniffer, wenn es HTTP ist sollte man ja mal schaun können was da hin und her wandert.

Anzeige

- Anzeige -

beavisbee · 22.09.08, 11:47

Zitat:

Original von zero-9
die sich auf Port 443(!) verbunden hat.

falls dir die Info weiterhilft: Port 443 ist HTTPS

und die Verbindungen kommen nur, wenn du Firefox öffnest?
was hast du eigentlich so an Firefox-Plugins installiert?
Vieleicht fragt irgend ein Plugin zuhause nach, ob es schon neuere Versionen gibt, etc.

Oder Anti-Phishing-Plugins, die neue Blacklists ziehen, etc.

Hast du in diese Richtung schonmal überlegt?

90nop · 22.09.08, 12:09

Vielleicht Malware in der FF exe ?

Lösche den doch mal und installiere ihn neu, poste ein hijackthislog. Denn: http://everflux.de/hosted-byleasewebcom-592/

das sieht schonmal nicht sehr gut aus

@beavisbee: Abgesehen von einigen speziellen Plugins in FF sollte da nichts im Hintergrund geladen werden.

zero-9 · 22.09.08, 16:56

Erstmal danke für eure Antworten.

Aus Sicherheitsgründen habe ich mich entschieden das System lieber neu aufzusetzen.

Als Firefox hatte ich die Version 3.0.1 mit den Extensions NoScript, Firebug und HTTPLive.

Das HJT - Log sah auch ziemlich sauber aus.

Nur was mir halt so Gedanken machte, war die "verschlüsselte" URL, die nicht über FF sondern über "System" zustande kam. Meine Vermutung war, dass irgendeine Malware den Prozess gehooked hat und dann seine Daten verschlüsselt gesendet hat, was ja heutzutage nichts so ungewöhnliches ist.
Komisch war auch, dass halt die Verbindung zu "hosted.by.alphared.com" durch TCPview nicht unterbunden werden konnte und auch nicht mt der Zeit verschwand, wie das bei den anderen HTTP verbindungen üblich war.
Was ich noch gefunden habe, war eine Seite, die wohl den Bot Zlob mit Alphared in Verbindung brachte. Aber die war ziemlich nichtsaussagend.
Hätte gern mehr drüber rausbekommen (Warum habe ich eigentlich nicht HttpLive mitlauschen lassen?-.-), aber die Sicherheit war mir in dem Moment wichtiger.

Trotz allem nochmal danke für eure Antworten.

Edit: Die Frage wäre halt nur gewesen, wie die Infektion zustande kam. Ist irgendjemandem irgendein Malware-Verhalten bei kino.to bekannt? Hatte mir die Seite mal angeschaut und dort JS aktiviert, um mir die Seite korrekt anschauen zu können.

01 · 23.09.08, 09:00

Naja Drive by Maleware wird ja immer beliebter. Also einfach so was einfangen ist ebend immer möglich. Aber dein System sah schon recht sicher aus.

Anzeige

- Anzeige -

22.09.08, 01:33	#1 (permalink)
zero-9 Registriert seit: 08.12.06 Likes: 0	Seltsame Verbindungen? Anzeige Guten Abend, ich hab vorhin durch Zufall mal meine Verbindungen per netstat überprüft. Dabei sprang mir eine Verbindung ins Auge, die ich nicht zuordnen konnte: hosted.by.alphared.com (über http). Also habe ich mal Google angestrengt und herausgefunden, dass Alphared ein Hoster ist und die eben genannte Domain sehr gerne von KAV2008 zum Update der proaktiven Liste benutzt wird. Das Problem: Ich benutze den KAV nicht, sondern Antivir. Komischerweise konnte ich hosted.by.alphared.com nicht anpingen. Auch ein Tracert schlug fehl. Von nun an beobachtete ich meine Verbindungen per TCPview von sysInternals. Nach ein paar Mal Firefox 3 neustarten, zeigte mir TCPview die Verbindung nicht mehr an. Dafür zwei andere unbekannte: eine ging jetzt zu hosted-by.leaseweb.com. Die andere war eine IP (66.132.235.54), der Domainname war zT mit Sternchen verschlüsselt, die sich auf Port 443(!) verbunden hat. Komischerweise zeigte TCPview an, dass die Verbindung vom Prozess "System" ausgeführt wurde. Ein tracert ergab keine wirklichen Ergebnisse und auch Google spuckte nichts aus. Kann mir irgend jemand weiterhelfen? ich finde diese Vorgänge äußerst dubios und kann keine gescheiten Informationen finden.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Seltsame Dateien	rami	Windows	6	20.06.08 16:58
Seltsame Dateikopien	Chris	Linux/UNIX	4	04.10.04 03:22
seltsame Fehlermeldung!!	MichiM	Die Problemzone	10	20.04.04 14:17
Seltsame XP-Installation	Playlife	Windows	6	25.03.03 14:37
seltsame mails?!	creep	Off topic-Zone	2	16.12.01 20:51

22.09.08, 11:07	#2 (permalink)
01 Registriert seit: 16.05.06 Likes: 0	Das nächste wäre dann ja vielleicht ein Sniffer, wenn es HTTP ist sollte man ja mal schaun können was da hin und her wandert.

22.09.08, 12:09	#4 (permalink)
90nop Registriert seit: 07.03.08 Likes: 0	Vielleicht Malware in der FF exe ? Lösche den doch mal und installiere ihn neu, poste ein hijackthislog. Denn: http://everflux.de/hosted-byleasewebcom-592/ das sieht schonmal nicht sehr gut aus @beavisbee: Abgesehen von einigen speziellen Plugins in FF sollte da nichts im Hintergrund geladen werden.

22.09.08, 16:56	#5 (permalink)
zero-9 Themenstarter Registriert seit: 08.12.06 Likes: 0	Erstmal danke für eure Antworten. Aus Sicherheitsgründen habe ich mich entschieden das System lieber neu aufzusetzen. Als Firefox hatte ich die Version 3.0.1 mit den Extensions NoScript, Firebug und HTTPLive. Das HJT - Log sah auch ziemlich sauber aus. Nur was mir halt so Gedanken machte, war die "verschlüsselte" URL, die nicht über FF sondern über "System" zustande kam. Meine Vermutung war, dass irgendeine Malware den Prozess gehooked hat und dann seine Daten verschlüsselt gesendet hat, was ja heutzutage nichts so ungewöhnliches ist. Komisch war auch, dass halt die Verbindung zu "hosted.by.alphared.com" durch TCPview nicht unterbunden werden konnte und auch nicht mt der Zeit verschwand, wie das bei den anderen HTTP verbindungen üblich war. Was ich noch gefunden habe, war eine Seite, die wohl den Bot Zlob mit Alphared in Verbindung brachte. Aber die war ziemlich nichtsaussagend. Hätte gern mehr drüber rausbekommen (Warum habe ich eigentlich nicht HttpLive mitlauschen lassen?-.-), aber die Sicherheit war mir in dem Moment wichtiger. Trotz allem nochmal danke für eure Antworten. Edit: Die Frage wäre halt nur gewesen, wie die Infektion zustande kam. Ist irgendjemandem irgendein Malware-Verhalten bei kino.to bekannt? Hatte mir die Seite mal angeschaut und dort JS aktiviert, um mir die Seite korrekt anschauen zu können.

23.09.08, 09:00	#6 (permalink)
01 Registriert seit: 16.05.06 Likes: 0	Naja Drive by Maleware wird ja immer beliebter. Also einfach so was einfangen ist ebend immer möglich. Aber dein System sah schon recht sicher aus.

[HaBo]

Seltsame Verbindungen?