Hacker´s View
| Hallo, hier finden Sie TIP´s wie Sie sich gegen Angriffe aus dem Netz wehren können, oder wie Sie feststellen können ob Ihr Betriebssystem (PC,MAC...) manipuliert wurde. Ich werde hier keine Anleitung zum Hacken u.s.w. geben!!! Die TIP´s sind auch kurz gehalten und setzen einiges Verständnis in den jeweiligen Betriebssystemen voraus. Weitere Fragen zu den Themen beantworte ich gerne per Mail, meine Adresse: Norbert Morawietz (morawietz@hrz.uni-dortmund.de) Die TIP´s sind einfach aufgelistet und nicht nach Systemen sortiert. Ich übernehme natürlich KEINE GARANTIE über die Richtigkeit der TIP´s! ;-) |
| Windows95-98 Trojanisches Pferd zum ausspionieren ihres PC Alle diese Programme sind kostenfrei mit Quellcodes im Netz. Somit ist das Verändern der Programme sehr einfach und darum auch das Entfernen und Auffinden um so schwieriger. Name: Back Orifice Sie führen ein Programm aus - nichts passiert - und schon ist das Ding installiert. Bei jedem Start wird ein Server gestartet - Der Client hierzu kann jetzt alles protokollieren was Sie machen oder auch das ganze System ausspionieren. Einige Virenscanner finden dieses Programm, wer sicher gehen will kann in der Registry nachsehen ob dieses Programm auf dem PC installiert ist. Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices oder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run dort sollte es einen Eintrag mit dem Namen <blank>.exe und der Länge 124.928 (+/- 30Bytes) geben. Löschen Sie diesen Eintrag. Somit wird der Start des Servers verhindert. Das Programm befindet sich normalerweise in \windows\system, hat kein Icon und ist ca. 122KByte groß. Das Mitloggen der Tastatureingabe wird über die WINDLL.DLL gemacht. Ansonsten finden die aktuellen Virenscanner (WIRKLICH AKTUELL!) die Datei, melden und verhindern den Start des Servers. Name: NetBus 1.7 ACHTUNG funktioniert auch unter NT Dieses nette kleine Programm hat die gleiche Funktion wie Back Orifice, nur es ist etwas gemeiner! Wenn Sie ihren Rechner starten wird dem Client (Spion) ihre IP-Adresse mitgeteilt. Es also egal wie der Hacker jetzt dieses Programm verteilt, er bekommt immer die Adresse des Rechners der dieses Programm startet, wenn er eine Veränderungen an dem Programm gemacht hat. Das Programm finden Sie in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices oder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Namen patch.exe. Es können aber auch die Namen sysedit.exe oder explorer.exe auftreten. Ansonsten finden die aktuellen Virenscanner (WIRKLICH AKTUELL!) die Datei, melden und verhindern den Start des Servers. Name: Back Orrifice 2000 (BO2K) ACHTUNG funktioniert auch unter NT Dieses Programm ist eine HighTech Ausgabe, die alle Funktionen der vorherigen Programme hat. Nun allerdings auch noch mit Menusteuerung und somit von JEDEM mit einigermaßen vorhandenen IP Kenntnissen zu nutzen. Das Programm befindet sich unter \windows\system (oder bei NT \winnt\system oder \winnt\system32) mit dem Namen umgr32.exe. Dieser Name ist aber frei wählbar, also wieder etwas schwieriger! Entfernen geht hier nur in der Registry unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices oder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Dort sollte, falls ihr PC infiziert ist, die Datei mit dem Namen umgr32.exe liegen. ABER die Datei kann auch anderes heißen. Löschen Sie diese Datei und möglichst auch im Systemdirectory des jeweiligen Windows-System. Wenn Sie sich in der Registry ein wenig auskennen, können Sie davon auskennen, dass jede Datei die Ihnen unbekannt vorkommt eine BO2K Datei sein könnte. Aber da sollten Sie sich schon sicher sein. Ansonsten finden die aktuellen Virenscanner (WIRKLICH AKTUELL!) die Datei, melden und verhindern den Start des Servers. Name: Sub7 oder Backdoor G ACHTUNG funktioniert auch unter NT Sub7 ist sehr weit verbreitet und hat in der ausführbaren Version "zig" Namen. Ist beliebig konfigurierbar und auch von beliebiger Stelle in Windows auch startbar (INI-Dateien, Registry....). In der Registry finden Sie es meist natürlich in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices oder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run oder über einen Autostartschlüssel. Am besten Sie durchsuchen die Registry nach dem Schlüssel "subseven" und hoffen! Die meisten aktuellen Virenscanner spüren das Programm auf, melden und verhindern den Start. Nur ein Entfernen ist durch die vielfältige Verteilung im System nicht sicher möglich. Sie werden also dauernd genervt, dass etwas gestartet wird und dies nicht GUT ist. Das System ist also nicht mehr vernünftig nutzbar. |
| Letzte Änderung 10.08.00 | Geschrieben auf 100% recycelbaren Computerseiten |