Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trojaner Troj def.bci auf fast allen Netzrechnern

Mitglied: 13198

13198 (Level 1)

24.04.2006, aktualisiert 27.04.2006, 4633 Aufrufe, 9 Kommentare

hallo, hab den besagten Tojaner auf sehr vielen Clients, auf den ersten Blick sind es die Clients die nicht aktuell gepatcht sind. Eine verdächtige E-Mail habe ich nicht gefunden, muss sich wohl übers Netz verbreiten. Auf den Antivirusherstellerseiten ist das Teil auch nicht aufgeführt. Hat mir jemand infos zu dem Virus? troj-def.bci
Mitglied: 16568
24.04.2006 um 14:37 Uhr
Wenn Du sagst, Du hast den Trojaner troj-def.bci, woher weißt Du das dann?
Der Trojaner kann nur den Namen haben, wenn er schon irgendwo bekannt ist...
(AV-Hersteller)

Willst Du Ihn entfernen?
Ich denke, das ganze ist ein Browser-Plugin, oder irre ich mich da?
Welches OS hast Du?
Hast Du schon Spybot S&D und Adaware probiert?
Pest Patrol und XoftSpy auch schon?



Lonesome Walker
Bitte warten ..
Mitglied: 13198
24.04.2006 um 14:56 Uhr
trend micro erkennt ihn ja auch, nur findet sich bei denen unter diesem namen kein virus oder trojaner. Und ich glaube nicht, dass meien User alle auf der gleichen Internetseite waren und sich das Teil eingefangen haben. Muss sich anders weiterverbreiten.
Bitte warten ..
Mitglied: noidea2
24.04.2006 um 15:13 Uhr
Ich hatte letztens einen der sich über das M$ Filesharing Protokoll weiter verbreitet hatte nur leider kenne ich den Namen nicht mehr.
Bitte warten ..
Mitglied: 16568
24.04.2006 um 15:16 Uhr
Was ist also Dein Problem, wenn TrendMicro ihn erkennt?

Löschen lassen, fertig.

Oder willst Du grundlegend wissen, was der Trojaner macht?
Trojaner löchern das System nach außen hin, und machen es somit zugreifbar.
Zuzüglich bieten sie die Möglichkeit, div. Schädlinge "nachzuladen".
(sogenannte "Dropper")

Naja, den Rest des Horror-Szenarios erspare ich Dir mal, sollte man ja wissen...
(Keylogger, Screen-Capturing...)


Lonesome Walker
Bitte warten ..
Mitglied: 13198
24.04.2006 um 15:16 Uhr
hi wie kann ich kontrollieren ob er es so gemacht hat? er hieß Troj_delf.bci sorry tippfehler
Bitte warten ..
Mitglied: 13198
24.04.2006 um 15:25 Uhr
ja schon klar was der machen kann, nur möchte ich eben wissen wo er sich genau festsetzt und was er macht bzw. wie er sich weiterverbreitet. Hab hier noch ein paar clients ohne Virenschutz (sind nicht im Internet usw.)
Bitte warten ..
Mitglied: RuntimeError
24.04.2006 um 23:43 Uhr
hmm du willst also wissen wo sie sich standart mäsig absetzen? nun ja da hab ich ne menge erfahrung gemacht mit viren,trojanern,exploits,java und bla was es noch gibt.

So, zur sache:

erst mal solltest du schauen was für prozesse bei dir laufen,z.B mit hijack durch laufen lassen. und hier dann rein posten ich sag dir dann wo und was faul ist. Meist verstecken sie sich in system32,windows,oder versteckt direkt auf deine festplatte als uploads. oder halt der temp ordner wo der internet cache rein kommt, oder unter programme wie toolbars und spysheriff.

so erstmal poste hijack log rein dann sehen wir weiter.
Bitte warten ..
Mitglied: gnarff
25.04.2006 um 00:19 Uhr
gut, ich hasse langsam den administrator.de server, immer wenn es eines laengeren kommentars zu posten bedarf, werde ich von dem ding rausgeworfen und ich kann alles noch einmal schreiben.
also von neuem:
erstellt und/oder manipuliert folgende ordner bzw. prozesse:
-version B: Delf.ao.zip, Delf.u.zip, Scanregw.exe, Kernel32.exe
-version C: Carved.jpq, Syst.exe, Delf.k.ini, 4.html, Scsi.sys, Scsi_dd.sys, Scsi2.sys, Scsi3.sys, Taskmon.exe
ausserdem erstellt er dateien mit folgender groesse:
-version A: 484,352 bytes
-version C: 165,888 bytes
-version D: 522,754bytes , 529,408 bytes und 569,344 bytes
-version F: 231,424 bytes und 252,928 bytes

modifiziert/erstellt folgende registry-eintraege:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\

HKEY_CLASSES_ROOT\txtfile\shell\open\command

befaellt alle versionen von NT. alle versionen XP und W2K

Das "delf" im namen steht fuer "DELPHI", denn dieser trojaner ist in delphi geschrieben.
er hebelt deine firewall/ av-loesung aus, etabliert einen remote acces auf deinen rechner, loggt alles mit und stiehlt deine passwoerter, zerschiesst dir zuletzt das system (schutzmechanismus).
einmal auf einem rechner, sucht das schadprogramm nach freigaben im netzwerk und verbreitet sich so innerhalb des netzwerks weiter.

saludos
gnarff
Bitte warten ..
Mitglied: 10545
25.04.2006 um 07:20 Uhr
Moin,

1.
Wenn Du die Säuberungsaktion fährst (am besten Abends oder am WE), dann trenne ALLE Clients und Server vom Netzwerk! Manche Trojaner "flüchten" auf andere erreichbare Rechner.

2.
a)
Ich hoffe, Du hast nun gelernt und spendierst JEDEM angreifbaren Device im Netzwerk einen entsprechenden AV-Schutz.

b) Patche alle Clients. Aktiviere die Automatischen Updates des Clients. Prüfe mal Deine Sicherheitsrichtlinien der Domäne. Z.B. sollten User die Update-Funktion nicht deaktivieren können.

Gruß, Rene
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Mischa Trojaner. Was nun
Frage von EdaseinsViren und Trojaner5 Kommentare

Hi Leute, und nun bin ich verzweifelt. Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk ...

Windows 10
Probleme durch fast startup
gelöst Frage von DerWoWussteWindows 1010 Kommentare

also known as "schnell vs. funktional" oder auch "Microsoft gegen Microsoft". Moin Kollegen. Es geht um eine dolle Eigenschaft ...

Schulung & Training
MCSA Fast Track sinnvoll?
Frage von DonLokusSchulung & Training6 Kommentare

Hallo admin Gemeinde! Hat jemand bereits Erfahrungen mit den Fast Track Zertifizierungen sammeln können? Ich bin nun nach 5 ...

Windows Server
Aufgabenplanung - fast sekündlich
Frage von ComputerseelsorgerWindows Server5 Kommentare

Hi! Ich möchte über diw Windows 2008R2 Servereigene Aufgabenplanung ein Skript alle 5 oder weniger Sekunden ausführen. Die kleinste ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs10 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Voice over IP
Vodafone IP Anlagenanschluss - TK-Anlage einrichten
Frage von BytedreherVoice over IP8 Kommentare

Moin Zusammen, wir hatten gestern bei uns die Umstellung auf den neuen IP Anschluss bei Vodafone. Vodafone IP Anlagenanschluss ...