Datenklau!? Wer kennt das?

Dieses Thema im Forum "Smalltalk" wurde erstellt von musiker, 3. Februar 2003.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. musiker

    musiker ROM

    Registriert seit:
    3. Februar 2003
    Beiträge:
    1
    Hallo Leute,

    seit Mitte letzter Woche bekam ich während des Arbeitens zwei Meldungsfenster vom Nachrichtendienst, die mir jeweils empfehlen, bestimmte Online-Adressen im Browser einzugeben. (Ausführliches Zitat der Meldungen am Ende). Mindestens bei der zweiten Meldung war ich mit dem Internet verbunden.
    (Die angegebenen Adressen habe ich im Browser selbstverständlich nicht eingegeben, da ich nicht weiß, ob sich dahinter etwa bösartiger Code verbirgt; zumal es sich um recht exotische Domains handelt.)

    Außerdem habe ich gestern festgestellt, daß bei Onlinezugriffen der Download extrem langsam geht, und daß gleichzeitig enorme Datenmengen von meinem Rechner gesendet werden: Nach 28 Minuten z. B. 33 MB gesendet, nur 3 MB empfangen.

    Das Senden der Daten beginnt unmittelbar nach Erstellen der Internetverbindung; das Aktivieren des Internetverbindungsfirewalls brachte keine Besserung.
    Außerdem war mir bisher nicht bekannt, daß mit meinem 56kBit/s-Modem trotz offenbar nicht vorhandener Komprimierung ein so hoher Datendurchsatz möglich ist (mehr als 1 MB / Minute).

    In letzter Zeit durchgeführte Aktionen, die mit den Erscheinungen in Verbindung stehen könnten:

    Online-Aktualisierung des Betriebssystems (Win XP prof.)
    Umzug meiner Website: Kontakt mit zwei FTP-Servern

    Ich wäre sehr dankbar, wenn mir jemand eine oder mehrere der folgenden Fragen beantworten könnte:

    Wie kann ich verhindern, daß diese Datenmengen von meinem Rechner versendet werden? Offensichtlich treibt da jemand Schindluder mit meinem Rechner.

    Wem ist ein Trojaner, Wurm, Virus o.ä. bekannt, der für die genannten Erscheinungen verantwortlich sein könnte? In den PC-Welt-Nachrichten der letzten Zeit habe ich dazu nichts gefunden. Ein heute Nacht durchgeführter Online-Virencheck (Panda ActiveScan) hat ebenfalls keine Fehler angezeigt.

    Wie kann ich herausfinden, woher die Nachrichtendienst-Meldungen kommen?

    Wie kann ich herausfinden, welche Daten ins Internet gesendet werden und wohin?

    Wer kann mir bei dem Problem evtl. weiterhelfen (möglichst kostengünstig)?

    Ist es empfehlenswert, die in den ersten beiden Meldungen angezeigten Adressen zu besuchen?

    Besten Dank für jede Hilfe!

    musiker

    -------------

    Konfiguration:
    Win XP prof.
    MS-IE 6.0 (ActiveX etc. deaktiviert bzw. mit Eingabeaufforderung)

    Genaue Meldungen des Nachrichtendienstes:

    1. Meldung:
    Nachricht von SICHERHEITSDIENST an 213.7.14.36 am 28.01.2003 01:16:13
    Auf Ihrem Computer wurde eine Sicherheitslücke gefunden! Um Ihren Computer zu schützen, geben Sie folgende Adresse in Ihren Browser ein:
    setup.xm.to
    Schützen Sie Ihren Computer indem Sie das Update ausführen!

    2. Meldung:
    Nachricht von SYSTEMSTEUERUNG an 213.7.175.250 am 02.02.2003 15:36:04
    ACHTUNG, WINDOWS hat festgestellt das Ihr System von dem Virus OPASRV.EXE befallen werden kann da Ihr System einen offenen Port zum Internet hat über welchen sich dieser WURM verbreitet. Geben Sie bitte:
    www.testing.dr.ag
    ein und folgen Sie den Anweisungen.
     
  2. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.467
    Die Meldungen sind einfach eine neue Art von Spam, in denen beliebig Nachrichten an den Nachrichtendienst zufälliger Rechner, die sich grade im Internet befinden, versendet werden (es werden einfach Nachrichten an ganze IP-Bereiche versenden). Schalte den "Nachrichtendienst" in der "Verwaltung"-> "Dienste" ab und Ruhe ist. Deine restlichen Beobachtungen stehen nicht im Zusammenhang mit den Meldungen.

    Gruss, Matthias

    PS: So nebenbei - mit dem Aufruf der Adressen in den Meldungen fängst du dir die eigentlichen Schädlinge ein...
     
  3. SourceLE

    SourceLE Kbyte

    Registriert seit:
    4. November 2002
    Beiträge:
    488
    Hi... da sich der LINK (den ich geben wollte) nich 100% funktioniert; hier der Textauszug:

    [PC] Opaserv-/Brasil-Wurm im JuNet;Win 9x u. Win ME: Patch MS00-072 holen

    Liebe PC-Benutzer,

    seit einigen Tagen sind mehrere Rechner im FZJ vom Opaserv- bzw.
    Brasil-Virus infiziert worden. Der installiert einen Hintereingang
    (Backdoor), ueber den dann Angreifer Ihren Rechner total beherrschen.

    Opaserv verbreitet sich ueber Netz-Freigaben, sucht also intensiv nach
    Netz-Freigaben. Externe haben sich bereits mehrfach beschwert.

    Dass dieser Wurm noch Schreib-Freigaben OHNE Passwort im JuNet
    findet, zeigt:
    Manche lernen es nie bzw.
    ich habe die Botschaft leider immer noch nicht richtig vermitteln
    koennen. Dabei kaempfen wir hier doch schon seit Jahren gegen NIMDA
    und Konsorten. Also, auf ein Neues:

    Freigaben:
    ==========

    A) Wir haben im JuNet immer Viren, die nach Schreib-Freigaben OHNE
    Passwort suchen. Wer also Schreib-Freigaben OHNE Passworte
    verwendet, handelt grob fahrlaessig.
    Lese-Freigaben sollten Sie auch durch ein Passwort sichern, wenn
    dort nicht alles fuer die ganze FZJ bestimmt ist.
    B) Schlecht gewaehlte Freigabe-Passworte, insbesondere Benutzer-Name,
    Rechner-Name, "password", "admin" oder "Administrator" sind aber auch
    kein Schutz: Durch Passwort-Raten kann jedes Programm, also auch ein
    Virus/ Wurm, die schnell ausprobieren und hat so doch Zugang.
    ==> Verwenden Sie also bitte auch fuer Freigaben sichere, schwer zu
    erratende Passworte.
    Ich verwende oft die Anfangsbuchstaben einer Aussage und
    ersetze manche Buchstaben/Worte durch naheliegende
    Ziffern, z.b. "kein" durch 0, "im" oder "in" durch 1.
    C) Bei Win 95, Win 98 und Win ME aber hat der Passwort-Schutz von
    Netz-Freigaben eine Luecke, die der Opaserv-Wurm ausnutzt.

    ==> Unter Win 95, Win 98 und Win ME bitten umgehend den Patch
    MS00-072 installieren ##################################

    o Quelle: z.B. \\ZELCDS\public\MS-Patches\MS00\MS00-072 o Bei Win 95 27399USA5_win95_en.EXE per Doppelklick starten,
    bei Win 98 27399USA8_win98se_en.EXE und
    bei Win ME 27399USAM_winMe_en.EXE.
    Das sind "multilinguale" Patches: es gibt keine deutschen!
    o Installation bestaetigen: Mit <Ja>
    o Neustart nach der Installation bestaetigen: Mit <Ja>
    o Optionale Kontrolle:
    - Vserver.vxd suchen (z.B. in C:\Windows\System\ )
    - Mit Rechter Maus auf Vserver.vxd --> Eigenschaften und
    Version, Groesse und Erstellungsdatum vergleichen:
    4.00.955 108.288 19. Oktober 2000 bei Win 95
    4.00.1113 112.904 17. Oktober 2000 bei Win 95B/95C
    4.10.2001 112.912 11. Oktober 2000 bei Win 98
    4.10.2224 112.912 15. September 2000 bei Win 98se
    4.90.3001 112.896 25. September 2000 bei Win ME

    Entfernungs-Hinweise zum Opaserv-/ Brasil-Wurm:
    =============================================

    o F-PROT und VirusScan koennen diesen Virus erkennen und entfernen.
    o Es gibt z.B. von F-Secure ein eigenes Hilfs-Programm, das diesen
    Wurm entfernt: s. \\PCSRV\public\f-prot\viren.weg\opaserv Das sollten Sie als erstes verwenden.
    Sie koennten f-opasrv.exe direkt dort starten. Das ist eine DOS-
    Anwendung. Welches Verzeichnis durchsucht wird, wird angezeigt.
    Sie sehen dann aber nicht mehr die Ergebnis-Meldung
    "No infection found.",
    weil die DOS-Box nach Programm-Ende sofort geschlossen wird.
    Kopieren Sie f-opasrv.exe deshalb auf Ihre Festplatte und starten
    es dort aus einer sogenannten DOS-Box.
    Dieses Opaserv-Entfernungsprogramm beendet einen optional
    gestarteten Opaserv-Prozess. Vermutlich entfernt es auch die
    Veraenderung des Run-Eintrages in der WIN.INI Datei (nur Win 9x und
    Win ME) und den Registry-Eintrag unter
    HKLM\Software\Microsoft\windows\CurrentVersion\Run\ .
    Beide Aenderungen sorgen dafuer, dass der Wurm nach jedem Neustart
    auch wieder aktiviert wird.
    o Ueberpruefen Sie alle Freigaben, auch die adminstrativen (Laufwerks-
    Buchstabe, gefolgt von "$", z.B. C$, ob dort auch keiner ohne
    Passwort schreiben darf. Viele Viren geben naemlich C: frei,
    z.B. der NIMDA-Virus. Dann kann jeder auf Ihrem PC machen, was
    er will: Es ist nicht mehr Ihr PC!

    Weitere Grund-Empfehlungen zur PC-Sicherheit:
    =============================================

    1) Die Antiviren-Software ist mindestens jede Woche zu aktualisieren
    und richtig zu konfigurieren
    (s. \\PCSRV\public\nai\viruscan\mini-tki.htm).
    2) Der Internet Explorer ist zu patchen
    (IE 5.5 + SP2 + MS02-047 + MS02-058 bzw. IE 6.0 + SP1;
    alles holbar von \\ZELCDS\public\IE bzw. \MS-Patches\)
    und richtig zu konfigurieren (s.
    http://www.fz-juelich.de/zam/net/security/software/
    Dort weiter nach Microsoft-Patches/Internet-Explorer/
    IE-ZAMREAD.TXT := IE- und Outlook Express Konfiguration
    IE-Sammelpatch.txt := Welches IE-Sammelpatch ist zu
    installieren.).

    Aktueele News über Viren und Hoax gibts bei:

    http://www.sophos.com oder .de

    MfG & CU
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen