SMCG.EXE|IRC|Backdoor|

O

olli

0
Hallo!

Ich hab ein kleines Problem ... !
Heute ist mir aufgefallen, dass sich ein Programm namens

"SMCG.EXE"

in meinen Prozessen befindet.
Suche ergab, dass es sich hier um einen Backdoor handelt.
Irgendwie hat jemand dieses Programm auf meinem Rechner installiert ohne, dass ich etwas gemerkt habe.
Ich hab die ganze Zeit eine Gut-Konfigurierte FW an gehabt. (Zu viel Vertrauen in ein Stück Software ;) , das ich jetzt wohl Verloren habe)

Das Programm versucht sich die ganze Zeit zu verbinden:

39-209.235.***.dellhost.com [209.235.17.***], port 5453
localhost [127.0.0.1], port 5453

ich habe schnell ein kleines Programm mit einem Server auf dem Port 5453 programmiert. Außerdem zeigt es alle Daten an, die der client sendet.
Sofort hat sich die smcg.exe mit meinem Prog verbunden und es versand folgende Daten:

NICK [UNC]83631 USER cguye 0 0: [UNC]83631

Was soll das sein???? Sieht aus wie IRC Befehle, oder ?
Tatsächlich befindet sich hinter der IP und dem Port ein Irc-server!!!!

Was hat das alles für einen Sinn? Wie funktioniert dieser Backdoor?
Ich hoffe ihr könnt mir helfen ... ;)




Mein System:
Windows XP Prof + SP1
KerioPFW
 
Von den Daten, die du geposted hast, würde ich auf ein Botnet schliessen. Dein Trojaner verbindet sich mit dem IRC-Server und wird so für den Betreiber des Botnets sichtbar. Dort warten solche Bots je nach Funktionalität auf Befehle. Botnets können z.B. zum DDOSen oder zum Spammen benutzt werden.

Einfangen kann man sich so ein Teil auf vielen Wegen.
 
Hi.
Auf folgender Seite gibts weitere Informationen dazu: http://fr.trendmicro-europe.com/consumer/security_info/ve_detail.php?Vname=WORM_SDBOT.QY
(Da findest du auch Infos wie du das Ding wieder beseitigen kannst.)

Es ist also ein Worm, der auch Backdoor Funktionen besitzt.
Er verbindet sich mit dem IRC Server, joint den bestimmten Channel und erhält Befehle von einem IRC Bot, der sich dort befindet. Auf diese Befehle reagiert der Worm und sendet bestimmte Informationen zurück. Zum Beispiel spioniert er CD-Keys, Produkt IDs, Registrierungsnummern. Außerdem können so DDoS Attacken durchgeführt werden.
 
@Damien

Also ist das jetzt als Massen-Angriff zu interpretieren und keineswegs, wie ich befürchtete, ein Angriff, der speziell auf mich ausgerichtet war.
THX



@Mackz

Beseitigen ist ja kein Problem ;)
Ich wollte nur wissen wie das Ding funktioniert...
Hat sich ja jetzt geregelt!
THX




Aso ... naja dann wars wohl halb so schlimm ... ;)
 
am besten hilft auf
avatar-1437.jpg
umsteigen ;D
unter windows brauchst du dich gar nicht sicher zu fühlen, mit oder ohne firewall. es sei denn du hängst hinter 10 firewalls die im zweifelsfall alle sich gegenseitig abschalten sodass die datenpakete noch rechtzeitig hängenbleiben.
 
Ich hab mich noch nie unter Windows sicher gefühlt ;)
Ich würde eigentlich auf Windows verzichten, aber ohne Games halt ich das nicht aus. Zocken auf Linux ist ja ne Sache für sich .....
Heute werde ich meinen Debian Rechner erstmal als Router vor schalten! (Dass ich nicht vorher auf die Idee gekommen bin!)


mfg Olli ;)
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben