[HaBo]

Freaky

Anzeige

HI!
Gibt es eigentlich einen Trojaner der z.B. seinen Port über Port 80 tunnelt oder sowas, also dass eine Firewall es nicht bemerkt wenn er connected. Könnte auch mit IE implementierung sein oder ICQ. thx.

soox

kommt drauf an was du für ne firewall hast....wenn du nen www-proxy hast glaube ich kaum, dass dein trojaner das was mit dem port 80 anfangen kann (8080 oder was auch immer).

Rushjo

@soox

Den Port 80 zu tunneln bzw. durch den Trojaner nutzen
zu lassen geht bestimmt, da es ja genug Trojaner
gibt, bei denen man den Port frei definieren kann! Das
Ganze hat nur ein Problem und zwar das der Computer-
User den Port 80 nicht mehr zum Surfen nutzen kann,
da er ja schon in Benutzung ist. Wenn dann müsste
man den Trojaner so configurieren, das er nur zu
"bestimmten" Zeiten auf dem Port lauscht. Besser
sind da immer Ports wie 443.

@Freaky
Was meinst Du mit "IE-implementierung"? Wer soll
so tun, als sei er der "IE"?

MfG Rushjo

soox

wenn du nen normalen packet filter hast stimmt das schon....aber wenn du nen www-proxy (ist auch eine firewallart ) dazwischen hast kannst du das vergessen

warum solltest du nicht mehr sufren können?? es ist ja nur der destination port 80...nicht der source (clientseitig)

Freaky

Macht euch mal nicht am Port 80 heiß, war nur ein Beispiel. Ich möchte nur dass die Firewall, gehen wir davon aus dass es eine Desktop-Firewall ist, den Zugriff nicht anzeigt. Dafür müssen bekannte Ports benutzt werden oder eben bekannte Programme.
Wenn es eine Troj. geben würde der sich in andere Programme wie ICQ oder was weiß ich was einspeisen würde dann wäre das optimal. So ich hoffe, dass ich für Klarheit gesorgt habe.

Rushjo

@Freaky

Also, wenn ich Dich richtig verstehe, dann willst Du
den Trojaner so im IE oder ICQ verstecken, das Seine
Verbindung nach aussen (durch die Firewall hindurch)
als das jeweilige Programm angezeigt wird?!
Dafür müsste Du den "Trojaner" in den Quellcode
vom IE oder ICQ "einarbeiten". Dies setzt zum einem
ein "paar" Programmierkenntnisse voraus und zum
anderen den Source vom IE/ICQ. Und da dürfte es
interessant werden. Hinzu kommt, selbst wenn Du
das alles hinbekommst, dann hast Du immernoch
das Problem, das das Opfer diese manipulierten
Programme installieren müsste bzw. Du die Datei
austauschen müsstest. Auch das wird schwierig,
da die meisten Programme Checksummen bzw.
festgelegte Datei-Grössen haben, sodass es unter
Umständen auffallen würde, wenn die "neuen" Dateien
grösser sind.

@soox

Sorry, ich bin von einem Server ausgegangen, der zu
mindesten http anbietet als Dienst. Daher meinte ich,
das er auf dem Port80 nicht noch gleichzeitig einen
"zweiten" Dienst anbieten kann. Daher komme ich auch
die Idee mit 443, da der meistens auch offen ist und
viel seltener genutzt wird!

MfG Rushjo

sieben

Der Realplayer macht genau das. Ob die Software nun ein Trojaner ist bleibt Streitfrage.

__________________
Diese Zeile ist reserviert für Clark Kent.