---

Hejsa!

Min datters pc er blevet hacked 2 gange nu.

Det startede på den måde at der kom et popup vindue hvor der stod, at hun så
trist ud.
Hun kunne kun trykke Ok til dette vindue.
Derefter blev skærmen helt sort som en stor dos skærm, hvor man kunne
skrive. Han beskrev herefter
hvad hun havde af filer og billeder på hendes pc. Hun kunne kun skrive
tilbage til ham, ikke andet, så
hun måtte slukke pc'en.

3 dage senere opdagede hun at hendes webcam pludselig blev tændt, og så var
popuppen der igen.
Igen samme smøre og hun kunne kun slukke pc'en.

Hvad er det der lige foregår her?

Hvordan stopper man ham og hvordan kan man se evt. hans Ip-adresse, og
sidst, hvad er det for et bagdørs
program han benytter sig af?

---

Henrik Andersen wrote:
>
> Hejsa!
>
> Min datters pc er blevet hacked 2 gange nu.

Jeg tror vi har brug for mange flere oplysninger, hvis vi skal kunne
sige noget fornuftigt. Fortæl os først præcist hvilket OS maskinen
bruger, og hvilke programmer der kørte da hændelserne indtraf.

>
> Det startede på den måde at der kom et popup vindue hvor der stod, at hun så
> trist ud.
> Hun kunne kun trykke Ok til dette vindue.

Det lyder ikke som noget, der ikke kunne være gjort på en ganske almindlig
webside med en smule javascript. Det lyder irriterende, men der behøves
ikke være noget problem.

> Derefter blev skærmen helt sort som en stor dos skærm, hvor man kunne
> skrive.

Hmm. Der kunne igen være tale om lidt java eller javascript. Men vi må
nok igen have lidt flere detaljer.

> Han beskrev herefter
> hvad hun havde af filer og billeder på hendes pc.

Hvad mener du med det? Blev der blot vist en directory listning, eller
blev der fortalt oplysninger, som beviste, at personen faktisk havde set
filerne? Eller var alle oplysninger noget, som kunne være genereret af
et program, der havde set på filerne?

> Hun kunne kun skrive tilbage til ham,

Svarede "han"? Hvad blev der svaret?

> ikke andet, så hun måtte slukke pc'en.

Hvad andet prøvede du?

>
> 3 dage senere opdagede hun at hendes webcam pludselig blev tændt,

Hvordan kan man se at kammeraet bliver tændt? Hvad skal der til for at
tænde kammeraet?

> og så var popuppen der igen.
> Igen samme smøre og hun kunne kun slukke pc'en.
>
> Hvad er det der lige foregår her?

Det kan jeg ikke sige udfra oplysningerne.

>
> Hvordan stopper man ham og hvordan kan man se evt. hans Ip-adresse, og
> sidst, hvad er det for et bagdørs
> program han benytter sig af?

Hvis maskinen først er blevet cracket, kan du ikke regne med nogen
af de oplysninger eller programmer, der ligger på maskinen. Hvis
netforbindelsen går igennem et ethernet kan du jo sætte en anden
maskine på segmentet, og blot lade den dumpe trafikken. Det kan
nok afsløre noget om, hvad der foregår. (Forudsat, det rent faktisk
foregår via nettet.) Men det kræver en smule ekspertise at dumpe
trafikken, og det tror jeg ikke, jeg kan klare gennem en nyhedsgruppe.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

Kasper Dupont <kasperd@daimi.au.dk> writes:

> Jeg tror vi har brug for mange flere oplysninger, hvis vi skal kunne
> sige noget fornuftigt. Fortæl os først præcist hvilket OS maskinen
> bruger, og hvilke programmer der kørte da hændelserne indtraf.

Jeg vil tillade mig at gætte på en eller anden version af windows.

> > Det startede på den måde at der kom et popup vindue hvor der stod,
> > at hun så trist ud. Hun kunne kun trykke Ok til dette vindue.
>
> Det lyder ikke som noget, der ikke kunne være gjort på en ganske almindlig
> webside med en smule javascript. Det lyder irriterende, men der behøves
> ikke være noget problem.

Ud fra de senere symptomer vil jeg gætte på et eller andet
fjernadministrationsværktøj, f.eks. Back Orifice. Der er mange flere.

Hvis man vil være helt sikker:
Gem vigtige data, omformatter disken og geninstaller operativsystemet.
Hvis man vil være noget mindre sikker:
Brug et opdateret antivirus-program og se om det finder noget.

Hvis fjolset (som jeg ikke ville græde over at se politianmeldt) ikke
har gjort andet, så kan en antivirus måske fjerne problemet. Man kan
bare aldrig være sikker på om han benyttet lejligheden til at
installere andre bagdøre.

> Hvis maskinen først er blevet cracket, kan du ikke regne med nogen
> af de oplysninger eller programmer, der ligger på maskinen.

Nemli'.

Det løser desværre kun den ene del af problemet. Man skal stadig
gøre noget for at undgå at maskinen kan inficeres igen.

Hvis man bruger IE og Outlook/OE skal man vide at man er i
risikogruppen, da det er mod disse programmer de fleste angreb
er lavet. Man bør sætte dem så sikkert op som muligt.

Mht. Windows selv, så tror jeg ikke der er nogen almindelige brugere
der kan sætte en Windows op så den er sikker at sætte direkte på
nettet. Jeg tror ikke jeg selv kan, og jeg er ikke en almindelig
bruger (snarere en almindelig nørd :)). Derfor vil jeg foreslå at få
et eller andet at sætte mellem maskinen og nettet: en router, en
firewall eller en kombination. Jeg bruger selv en Linux-maskine, men
man kan købe mindre avancerede løsninger (som jeg så naturligvis ikke
kender nogen godt nok til at anbefale).

Om det er nok, det kan jeg ikke sige. Man skal stadig opføre sig
fornuftigt på nettet (altså: paranoidt over for alt hvad man ikke
kender! Ikke køre programmer man får tilsendt, ikke downloade
programmer fra steder man ikke bør stole på, etc.).

Jeg tror det eneste råd der holder på længere sigt er: Pas på!
(og læs svarene på de Ofte Stillede Spørgsmål, naturligvis:
<URL:http://a.area51.dk/sikkerhed/>)

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

---

Hej Henrik,

som de to andre svar forklarer kan det være svært at finde "hackeren" og få
lavet din datters PC sikker. Jeg vil foreslå at du får fat på en firewall
(software er også en udemærket løsning) - jeg bruger selv BlackIce fra
http://blackice.iss.net/. En anden eller samtidig løsning er BitDefender -
som er et ganske udemæket AntiVirus + Firewall program. Udover at finde vira
i mail, hjemmesider og filer - kan den også se hvilke programmer som
kontakter nettet fra computeren og UD til. Dvs. at en evt. trojan hurtigt
vil kunne blive identificeret og du kan fjerne filen. BitDefender kan hentes
på www.bitdefender.com .
Der har også tidligere været snakket her i denne nyhedsgruppe om et program
der kan se hvilke programmer der ejer de forskellige netværksforbindelser,
men så skal det køre konstant og det dækker ikke for virus.

Håber du løser det.

- Peter

"Henrik Andersen" <henrik@andersen.ac> skrev i en meddelelse
news:3d8627e4$0$7416$edfadb0f@dspool01.news.tele.dk...
> Hejsa!
>
> Min datters pc er blevet hacked 2 gange nu.
>
> Det startede på den måde at der kom et popup vindue hvor der stod, at hun
så
> trist ud.
> Hun kunne kun trykke Ok til dette vindue.
> Derefter blev skærmen helt sort som en stor dos skærm, hvor man kunne
> skrive. Han beskrev herefter
> hvad hun havde af filer og billeder på hendes pc. Hun kunne kun skrive
> tilbage til ham, ikke andet, så
> hun måtte slukke pc'en.
>
> 3 dage senere opdagede hun at hendes webcam pludselig blev tændt, og så
var
> popuppen der igen.
> Igen samme smøre og hun kunne kun slukke pc'en.
>
> Hvad er det der lige foregår her?
>
> Hvordan stopper man ham og hvordan kan man se evt. hans Ip-adresse, og
> sidst, hvad er det for et bagdørs
> program han benytter sig af?
>
>

---

Pedah! wrote:
> Hej Henrik,
>
> som de to andre svar forklarer kan det være svært at finde "hackeren" og få
> lavet din datters PC sikker. Jeg vil foreslå at du får fat på en firewall
> (software er også en udemærket løsning) - jeg bruger selv BlackIce fra

Evt. hvis du virkelig er blevet angrebet, kan du starte med at
reinstallere maskinen, for du kan ikke stole på maskinen.

---

"Henrik Andersen" skrev:
> Min datters pc er blevet hacked 2 gange nu.
>
> Det startede på den måde at der kom et popup vindue hvor der stod, at
hun så
> trist ud.
> Hun kunne kun trykke Ok til dette vindue.
> Derefter blev skærmen helt sort som en stor dos skærm, hvor man kunne
> skrive. Han beskrev herefter
> hvad hun havde af filer og billeder på hendes pc. Hun kunne kun skrive
> tilbage til ham, ikke andet, så
> hun måtte slukke pc'en.
>
> 3 dage senere opdagede hun at hendes webcam pludselig blev tændt, og
så var
> popuppen der igen.
> Igen samme smøre og hun kunne kun slukke pc'en.
>
Hej Henrik.

Det lyder virkelig ubehageligt - ikke mindst, at der pludselig blev
tændt for hendes webcam.
Det er usmageligt.
Det vigtigste må være at få stoppet det, der foregår. Personligt ville
jeg betragte det som så krænkende, at jeg også ville forsøge at finde
materiale med henblik på en retsforfølgelse af den, der har gjort det.

Jeg tror samtidig, at det er en oplevelse, som andre kunne lære meget
af.
Hvis I er interesseret, ville jeg gerne have lov til at fortælle
historien - evt. i anonymiseret form.

Du er velkommen til at ringe eller skrive til mig:
http://www.csirt.dk/kontakt.php

Så kan vi sikkert samtidig arrangere noget praktisk/teknisk hjælp til,
hvordan din datters problem bliver løst.
Bare rolig: Det kommer ikke til at koste noget. Rådet vil højst
sandsynligt være - som andre har nævnt - at maskinen skal
geninstalleres. Men inden da vil det være en god idé at lede efter spor,
så man kan forsøge at få fat i nakken på den ubudne gæst.

Med venlig hilsen

Thomas B. Maxe
journalist, CSIRT.DK

---

"Thomas B. Maxe" <toxicthomas@nospam.hotmail.com> skrev i en
meddelelse news:am6mo5$ium$1@sunsite.dk...
> Det lyder virkelig ubehageligt - ikke mindst, at der pludselig
blev
> tændt for hendes webcam.
> Det er usmageligt.
> Det vigtigste må være at få stoppet det, der foregår. Personligt
ville
> jeg betragte det som så krænkende, at jeg også ville forsøge at
finde
> materiale med henblik på en retsforfølgelse af den, der har gjort
det.

[snip]
> Med venlig hilsen
>
> Thomas B. Maxe
> journalist, CSIRT.DK
>
>

Helt enig - og vedkommende har sikkert også opsnappet en del
personlige oplysninger. Derfor er det vigtigt at få ham sporet, så
man kan finde ud af hvad det er for en type.

--
Med venlig hilsen
Johnny Nielsen
http://www.wintip.dk/
Artikler, guides og tips til Windows 9x/Me og XP.

---

"Johnny Nielsen" <johnny@wintip.dk> writes:

> Helt enig - og vedkommende har sikkert også opsnappet en del
> personlige oplysninger. Derfor er det vigtigt at få ham sporet, så
> man kan finde ud af hvad det er for en type.

Hvis økonomien er til det, så vil den sikreste måde at bevare alle
spor på være at tage harddisken ud og overlade den til en der ved hvad
han skal lede efter. Så må man købe en ny harddisk hvis man vil bruge
maskinen i mellemtiden.

/L 'It's the only way to be sure.'
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

---

---

Michal Wodzinski <michal@null.dk> writes:

> .oO( han er sikkert en ynkelig spinkel stakkel som ovenikøbet går i samme
> klasse som din datter, og har set sig så desperat efter socialt samvær at
> han kommunikerer på en sådan dum måde. )
>
> Hvis nogen blev krænket af det jeg just sagde undskylder jeg. Det er blot
> spekulationer.

Jeg ville også gætte på at det var en der kendte den person han
udspionerede i forvejen. Jeg er dog ikke sikker. Det kan også bare
være en person der har scannet efter maskiner inficieret med et
fjernstyringsprogram og tilfældigt har ramt. At han er dansker
får det dog til at virke mindre tilfældigt.

Men, det har ikke noget med edb-sikkerhed at gøre (ud over almindelig
social engineering).

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

---

Michal Wodzinski wrote:
>
> On Tue, 17 Sep 2002, Johnny Nielsen wrote:
>
> > personlige oplysninger. Derfor er det vigtigt at få ham sporet, så
> > man kan finde ud af hvad det er for en type.
>
> .oO( han er sikkert en ynkelig spinkel stakkel som ovenikøbet går i samme
> klasse som din datter, og har set sig så desperat efter socialt samvær at
> han kommunikerer på en sådan dum måde. )

Det lyder sandsynligt.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

Hejsa!

Tak for alle svarene......

Da jeg har været ret arbejdsramt de sidste dage, så har jeg ikke haft tid
til at rode ret meget med det.

Dog har jeg nok fundet ud af hvorfor han kunne komme ind på trods af, at jeg
har en Router med Firewall i.
Og det skyldes måske at det var tilladt at bruge PPTP VPN og IPSec VPN
Client i min firewall. Det havde jeg ikke lige set
tidligere. Jeg har slået dem fra, og han har ikke været der siden, men om
det skyldes det ved jeg ikke.

Jeg har scannet pc'en med antivirusprogram og Ad-aware, men ikke umiddelbart
fundet noget jeg lige kunne
se var et mistænkeligt program.

Her i weekenden vil jeg lige prøve at gå pc'en nærmere efter i sømmene, og
evt. lave en ny installation.

mvh Henrik Andersen

---

"Henrik Andersen" <henrik@andersen.ac> writes:

> Jeg har scannet pc'en med antivirusprogram og Ad-aware, men ikke umiddelbart
> fundet noget jeg lige kunne
> se var et mistænkeligt program.
>
> Her i weekenden vil jeg lige prøve at gå pc'en nærmere efter i sømmene, og
> evt. lave en ny installation.

Gør det. VPN alene kan ikke tænde for et web-kamera. Og vær ekstra forsigtig
indtil da. Hvis der er "ond" software på maskinen, så kan den måske finde
på at kalde ud, og så hjælper ingen indgående firewall.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

---

Henrik Andersen wrote:

> Her i weekenden vil jeg lige prøve at gå pc'en nærmere efter i sømmene, og
> evt. lave en ny installation.


Evt???

Det eneste forsvarlige at gøre ved en kompromiteret maskine er at
re-installere! Helst skal man jo gerne finde ud af hvordan han kom ind
og sørge for hullet ikke er i den nye installation.

Peter