Trojans/de

From distributed.net
Jump to: navigation, search

Trojaner

Immer wieder gibt es skrupellose Leute, die glauben, daß es im Interesse des Internet liegt, wenn alle Computer den distributed.net Client laufen haben, ganz egal, ob deren Besitzer das wollen oder nicht, und anderen Menschen den Client aufzwingen. distributed.net distanziert sich von dieser Ansicht, und geht gegen solche Menschen aktiv vor.

Es sind mehrere bekannte Trojaner im Umlauf. Die meisten aktuellen Varianten nutzen die Offenheit des Internets um aktiv nach schlecht geschuetzten Computern zu suchen, die dann ferngesteuert infiziert werden. Bei dieser neuen Infektionsmethode können Computer infiziert werden, ohne dass der Benutzer selbst ein infiziertes Programm ausführt. Diese Computer (insbesondere mit Win9x) werden nicht wegen eines Betriebssystem-Bugs infiziert, sondern wegen eines haeufig gemachten Konfigurationsfehlers. Viele Benutzer richten ungeschützte Laufwerksfreigaben mit Schreibzugriff ein. Das kommt aber dem nicht-abschliessen seiner Haustuer sehr nahe.

Bitte beachten Sie, dass das Vorhandensein von DNETC.EXE und DNETC.INI (mit einer anderen Email-Adresse) nicht zwingend mit einem Trojaner erklaert werden muss. Andere Benutzer des Computers koennten den Client absichtlich installiert haben. Löschen Sie also nicht einfach alle Kopien dieser beiden Dateien.

Bereinigen und Schuetzen des Computers

Es koennen viele Vorsichtsmassnahmen getroffen werden um Computer trojanerfrei zu halten. Da die meisten neueren Wuermer sich verteilen indem sie sich selbst in freigegebene Verzeichnisse kopieren, sollten Sie es vermeiden Verzeichnisse freizugeben sofern es nicht notwendig ist. Geben Sie Verzeichnisse wenn moeglich nur schreibgeschuetzt frei. Geben Sie nie gesamte Laufwerke frei !

Distributed.net hat ein utility namens WORMFREE veroeffentlicht, das Benutzern bei der Beseitigung von den Wuermern hilft, von denen bekannt ist, dass sie benutzt werden um den distributed.net Client zu verteilen. Es wird trotzdem nachdruecklich empfohlen, dass (nicht nur betroffene) Benutzer einen Virenscanner installieren um sich vor Infektionen auch durch andere Trojaner/Wuermer zu schuetzen. Die aktuelle Version von WORMFREE kann [[Media:Wormfree[1].zip | hier heruntergeladen]] werden. Das Paket enthaelt auch den Quellcode zu dem Programm.

Bekannte Varianten

Zur Zeit gibt es eine Handvoll Trojaner, die im Netz herumgeistern. (Eine aktuelle Liste finden Sie auf der englischen Version dieser Seite.)

  1. Der Erste heißt "mycollection.exe". Er gibt vor, ein Pic Viewer mit Kinderpornos zu sein. Dieser Trojaner wurde von einem IRC-Bot automatisch an User verteilt, wenn sie bestimmten Channels beigetreten sind.Dieser Trojaner beinhaltet ein Install-Programm, welches rc5desg.exe in das Windows/System-Verzeichnis kopiert, versteckt und startet.
  2. Ein Anderer heißt cindyply.zip. Er ist noch schlimmer, da er nicht nur den RC5-Client installiert, sondern auch Back Orifice mit dem Butt Trumpet-Plugin. Er wird in Usenet-Binaries-Gruppen als AVI-Sammlung inklusive Player vertrieben.
  3. Es ist auch bekannt, daß Version 2.6403 des win32gui in einem Zipfile namens ipspoof.zip verteilt wird, welches die Dateien ipspoof.dat, ipspoof.dll, ipspoof.exe, und readme!.txt enthält. Dieser einfache Exe-Installer kopiert den Client nach \windows\system\rc564gui.exe und kofiguriert ihn so, daß er automatisch im Hintergrund läuft und Blocks für "fbicrasher@hotmail.com" durchrechnet. Er wird in dieser Art seit etwa Dezember 1997 verteilt.
  4. Es gibt auch Gerüchte über einen Trojaner, der in Akte-X-Gruppen im Usenet verteilt wurde. Er soll als Puzzle mit Gillian Anderson-Bildern getarnt sein, und rc5desg.exe und eine INI installieren. Er wurde zweimal gepostet, einmal im Mai 1998, und noch einmal im Juni. Er wird als Gerücht eingestuft, da wir aufgrund des Alters der Postings seine Existenz nie bestätigen konnten.
  5. Es gibt 2 Varianten des VBS.Network oder VBS.NetLog Virus, die die Versionen 2.8005.455 oder 2.8007.45X der dnetc.exe mit sich zusammen verbreiten. Dieser Virus/Wurm kann erkannt werden durch das Vorhandensein von "network.vbs" und "microsoft_office.lnk" in der Windows AutoStart-Gruppe und "network.log" im c:\ Stammverzeichnis. Eine Version von dnetc.exe und dnetc.ini mit der eMail-Adresse "bl4ckr0d@hotmail.com" oder "jdefoe@linuxstart.com" wird im Verzeichnis c:\windows\ abgelegt. Dieser Wurm vervielfältigt sich dadurch, indem er sich mit einer zufälligen IP-Adresse verbindet und dort versucht, ein freigegebenes Verzeichnis "C" zu öffnen und die infizierten Dateien direkt in die AutoStart-Gruppe zu kopieren. User können sich schützen, indem sie sicherstellen, daß sie nicht ihre gesamte Festplatte mit vollem Lese-/Schreibzugreif ohne ein Passwort freigeben. Diese beiden Wurmvarianten wurden zum ersten Mal Anfang April 2000 entdeckt.

Strafen

Alle Schuldigen wurden von ihren Teams entfernt, und ihre Passwörter wurden geändert. Sie können kein Geld mehr gewinnen, wurden aus den Statistiken entfernt, ihr Team-Paßwort wurde geändert, und ihre Team-Koordinatoren wurden per E-Mail verständigt. > Wenn der Team-Koordinator beweisen kann, daß all das ohne sein Wissen durchgeführt wurde, dann wird das Team wieder zum Wettbewerb zugelassen, und die Blocks, die vom Schuldigen für das Team gesammelt wurden, werden aus der Statistik entfernt.

Wenn du Informationen über solche Trojaner oder welche, die du selber entdeckt hast, besitzt, oder wenn du so einem Trojaner zum Opfer gefallen bist, dann schreib bitte eine Mail an abuse@distributed.net und wir werden uns sofort um die Sache kümmern.