Specs Skrevet 6. mai 2002 Del Skrevet 6. mai 2002 Et par ganger nå har brannmuren min (Norton IS)fanget opp følgende info: Program: c:WINNTautoupdautoupd.exe Protokoll: TCP (utgående) Ekstern adresse: eu.undernet.org (213.48.150.1): ircu-2 (6667) Lokal adresse: Tjenesteport 1046 Needless to say stopper jeg trafikken, men jeg lurer litt på hva dette er ... For meg ser det mest ut som en IRC trojan av noe slag. Norton Anti Virus har ikke funnet noe, ei heller Trojan Remover. Noen ideer? Setter pris på hjelp! Lenke til kommentar
Mr.Hassan Skrevet 6. mai 2002 Del Skrevet 6. mai 2002 Hei Specs! Hmm..Veit ikkje.. Men,eg ville være skeptisk til å la eit program "snakke" med irc clienten min... Har du skjekka heimesida til Norton? Kanskje det står noko om at det er eit virus eller ikkje.. Har du nyaste oppdateringa til Norton antivirus..? Lenke til kommentar
Specs Skrevet 6. mai 2002 Forfatter Del Skrevet 6. mai 2002 Ja, jeg har nyeste oppdateringer. Det er derfor jeg stusser litt ... Det er ikke noe problem å la NIS nekte denne trafikken, men jeg skulle jo heller tatt årsaken enn symptomet :smile: Lenke til kommentar
Specs Skrevet 6. mai 2002 Forfatter Del Skrevet 6. mai 2002 ... samt at jeg faktisk ikke har en eneste IRC-klient installert (som jeg vet om :smile: ) Når jeg ircer ssh'er jeg meg til en UNIX boks med badass sikkerhet og tekstircer derfra. Lenke til kommentar
Mr.Hassan Skrevet 6. mai 2002 Del Skrevet 6. mai 2002 Hei! Siden du kan nekte tilgang ville eg ha gjordt det.. Og kanskje sendt ein epost til Norton å hørt om dei viste kva årsaken til meldinga var.. Om det er virus eller ikkje.. Lenke til kommentar
Smoothly Skrevet 6. mai 2002 Del Skrevet 6. mai 2002 Det virker som du har fått en eller annen form for "Spyware". Kan ikke huske at Microsoft eller andre "kjente utviklere" har brukt den mappen eller den exe-fila. Har selv hat god erfaring med et program som scanner minnet, registeret og diskene for "spyware". Ad-Ware fra http://www.lavasoft.nu/ Verd å prøve. Lenke til kommentar
Specs Skrevet 6. mai 2002 Forfatter Del Skrevet 6. mai 2002 Nah, godt forslag, men jeg kjører Ad-Aware regelmessig og den fant ingenting. Jeg vet ikke helt hvilke applikasjoner somn bruker autoupd, men jeg kan ikke tenke meg at noen vennligsinnede skulle ha noe med en IRC-server å gjøre ... Lenke til kommentar
SpirreVipp Skrevet 6. mai 2002 Del Skrevet 6. mai 2002 Legg filen i karantene og send den til Symantec. Jeg gjorde det en gang med en fil og fikk tilbakemelding noen timer senere. Det var da et nytt spyware som ikke var kjent ennå av Ad-Aware. Tror det tok noe sånn som 4 timer fra jeg sendte inn filen og til jeg fikk svar. Lenke til kommentar
toreae Skrevet 6. mai 2002 Del Skrevet 6. mai 2002 Du kan jo lese dette, "The Classic DoS Attack Report" hos http://grc.com/dos/grcdos.htm. Jeg vet ikke om du er ute for det samme, men det var interessang lesning uansett. Lenke til kommentar
Specs Skrevet 6. mai 2002 Forfatter Del Skrevet 6. mai 2002 Takk SpirreVipp, skal forsøke det. Noen som gidder å sjekke om de har noen filer liggende på WINNTautoupd ? Takk! Lenke til kommentar
Rascal Skrevet 6. mai 2002 Del Skrevet 6. mai 2002 lite utdrag fra siden: All of the IRC Zombie/Bots open and maintain static connections to remote IRC chat servers whenever the host PC is connected to the Internet. Although it is possible for an IRC chat server to be configured to run on a port other than "6667", every instance I have seen has used the IRC default port of "6667". Consequently, an active connection to an IRC server can be detected with the following command: netstat -an | find ":6667" Open an MS-DOS Prompt window and type the command line above, then press the "Enter" key. If a line resembling the one shown below is NOT displayed, your computer does not have an open connection to an IRC server running on the standard IRC port. If, however, you see something like this: TCP 192.168.1.101:1026 70.13.215.89:6667 ESTABLISHED . . . then the only question remaining is how quickly you can disconnect your PC from the Internet! A second and equally useful test can also be performed. Since IRC servers generally require the presence of an "Ident" server on the client machine, IRC clients almost always include a local "Ident server" to keep the remote IRC server happy. Every one of the Zombie/Bots I have examined does this. Therefore, the detection of an Ident server running in your machine would be another good cause for alarm. To quickly check for an Ident server, type the following command at an MS-DOS Prompt: netstat -an | find ":113 " As before, a blank line indicates that there is no Ident server running on the default Ident port of "113". (Note the "space" after the 113 and before the closing double-quote.) If, however, you see something like this: TCP 0.0.0.0:113 0.0.0.0:0 LISTENING Lenke til kommentar
Specs Skrevet 6. mai 2002 Forfatter Del Skrevet 6. mai 2002 Jeg har hittil brukt andre verktøy for å kikke på trafikken ut av boksen min, men hverken de eller netstat (som foreslått) viser noe unormalt. Så jeg antar at NIS funker i at den blokkerer trafikken. Men jeg skulle så gjerne visst hva det er som skjer og, dersom dette er en trojaner eller noe annet ulumskt, fjernet dritten. Men takk for alle forslag! Noen andre som har noen andre tilnærminger? Lenke til kommentar
SpirreVipp Skrevet 8. mai 2002 Del Skrevet 8. mai 2002 Quote: Den 2002-05-06 16:33, Specs skrev:Takk SpirreVipp, skal forsøke det. Noen som gidder å sjekke om de har noen filer liggende på WINNTautoupd? Takk! Jeg har ikke mappen en gang. Lenke til kommentar
Specs Skrevet 8. mai 2002 Forfatter Del Skrevet 8. mai 2002 Jeg la autoupd.exe i karantene og sendte inn til Symantec. Fikk tilbake med svar om at dette var en 'Backdoor.Trojan', samt en oppdatering til NAV som skulel ta seg av saken. Nå er 'Backdoor.Trojan' beskrivelsen av en generisk backdoor trojaner med viss egenskaper, så det er ikke så lett å si om dette er en nye eller gammel trojaner. Er det gammel skulle NIS ha oppdaget den dog, med mindre NIS er kompromittert. Jeg har ikke kjørt oppdateringsfila og sjekket med NIS ennå, skal gjøre det i kveld ... Siden jeg tok den utgående trafikken fra trojaneren i brannmuren regner jeg med at det er begrenset med ugang den har gjort ... Forhåpentligvis Takk for hjelp og gode forslag folkens! Lenke til kommentar
SpirreVipp Skrevet 8. mai 2002 Del Skrevet 8. mai 2002 Sjekk på Windows Update siden om det ikke finnes en Hotfix som stopper Trojaner. Mener å ha lest noe ett sted om at det skal finnes. Jeg er litt på tynn is nå, men det skader ikke å sjekke. Lenke til kommentar
Specs Skrevet 9. mai 2002 Forfatter Del Skrevet 9. mai 2002 Siste nytt. Viste seg å være en forholdsvis ny trojaner (Backdoor.Autoupder), sist oppdatert hos Symantec 23. april. Mulig at LiveUpdate ikke hadde fått den med seg, men med manuell oppdatering("Intelligent Updater") gikk det greit. Tror jeg. Har ikke klart å finne nevnte Windows patch, så hvis du finner den, si gjerne ifra. Specs Lenke til kommentar
slowcooler Skrevet 9. mai 2002 Del Skrevet 9. mai 2002 Veldig inntr. tilfelle, det er bare en ting å si: personlig brannmur er etter hvert blitt et must! Det er jo umulig å holde seg oppdatert med hva som finnes av spyware, og når ikke engang de store gutta vet det, er det best å sjekke alt som kan kontakte nettet. Bruker selv Zone alarm, og den har tre ganger stoppet dtitt som prøver å kontakte nettet, slik at jeg fikk slettet det. Men jeg sitter igjen med en følelse, kan alt sjekkes? Finner de som skriver disse progr. alle muligheter til å komme ut fra en maskin? (PARANOID?) [ Denne Melding var redigert av: slowcooler på 2002-05-09 22:53 ] Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå