|
| Spy-ware Fra : Eskil Frantzen |
Dato : 28-09-02 16:02 |
|
Hej, for en måneds tid siden downloadede jeg kazaa, og det kørte fint nok.
Jeg lage godt mærke til at der lige pludselig var et lille skummelt
minimeret vindue der startede hver gang jeg loggede på win2k, og hurtigt
forsvandt igen. Jeg tænkte, ah, sikkert powerstrip e.lign.
Så begyndte jeg at få skumle errors, win2k kunne ikke finde en help fil i
system32 diret olign. Suspekt nok, men trykkede bare cancel hver gang det
skete.
Så begyndte de her errors at tage til, og ud af den blå luft blev der
startet nogle dos prompts, hvor jeg kunne se der blev rodet rundt i mit
system32 dir.
Hmm tænkte jeg så, det her er jo ikke meningen.
Jeg finder så ud af at klikke på det der lille minimerede vindue der lige
popper frem hver gang jeg starter windows, og sørger for at det ikke
forsvinder. Jeg for åbnet det, og voila, jeg kan se at det er mirc der
starter!
Ok, meget skummelt, mirc er helt strippet for servers o.lign., alligevel
logger den på en eller anden mirc server, og joiner en skummel kanal #ymcae.
Mirc er sat op så man næsten intet kan se, men jeg finder ud af at se irc
server ip'en i status.
Jeg starter min eget mirc og logger på den server ip jeg har set i status,
og logger ind på den der kanal.
I den kanal var der på et tidspunkt 1600 personer, de har alle nicks som
maria883, niceguy8, oiwreu osv.
Ingen kan svare mig, klart nok, de logger på på den samme måde som jeg selv
har gjort, ergo de ved ikke at programmet starter, de ved ikke overhovedet
at de er på den her server.
Så ser jeg der er 1 person med op. Jeg whoiser ham og kan se at han er
ircop, dvs har fuld kontrol over irc serveren. desuden er han logget på
gennem en egdrop bot e.lign. som snail@fbi.gov
Fuuuuuucked up tænker jeg, hvad fanden sker der her :)
Jeg msg ham, fra whois kan jeg se han har sat sit name til Harry.
Jeg skriver "Hi harry", han svarer ikke, 20 min. senere ca. skriver jeg
"help", bare for at checke om det er en bot e.lign.
Han kicker mig så fra irc serveren med beskeden "No", og ligepludselig står
der måske 20 computere og port scanner min maskine, hvilket gør at min
internet går fuldstændigt i knæ. Mit internet var i knæ i ca. 1 uge, hvor
der stod forskellige computere og portscannede mig olign. Alle computere i
usa.
Er det her spyware, eller er det et andet program jeg har været uheldig at
få ind på min maskine ? Andre der har prøvet noget lign.?
En ting er sikkert, der går nok lang tid før jeg rører programmer som kazaa
igen.
| |
Jesper Louis Anderse~ (28-09-2002)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 28-09-02 16:27 |
|
On Sat, 28 Sep 2002 17:02:27 +0200, Eskil Frantzen <lampen68@tiscali.dk> wrote:
> Hej, for en måneds tid siden downloadede jeg kazaa, og det kørte fint nok.
> Jeg lage godt mærke til at der lige pludselig var et lille skummelt
> minimeret vindue der startede hver gang jeg loggede på win2k, og hurtigt
> forsvandt igen. Jeg tænkte, ah, sikkert powerstrip e.lign.
Det ernæppe kazaa i sig selv. Du har nok downloadet og installeret et
program der indeholdt en trojan. De 1600 brugere er en eller anden
scriptkiddiots zombier han bruger til at spamme folk med og andet. Din
maskine har været inficeret og skal derfor geninstalleres hvis du vil
være sikker på at komme af med ham.
Fordi han kan kommandere rundt med 1600 computere, kan han sagtens ligge
din forbindelse ned.
--
Jesper
| |
John (28-09-2002)
| Kommentar Fra : John |
Dato : 28-09-02 16:57 |
|
"Eskil Frantzen" <lampen68@tiscali.dk> skrev i en meddelelse
news:tvjl9.44519$Qk5.1805429@news010.worldonline.dk...
> Er det her spyware, eller er det et andet program jeg har været uheldig at
> få ind på min maskine ? Andre der har prøvet noget lign.?
>
Kazaa er fuld af spyware. Det er en kendt sag, at de samarbejder med BDE
(Brilliant Digital Entertainment). I følge Alt Om Data, fungerer den som en
sovende spion, der ved opvågning kobler de inficerede maskiner sammen i et
peer to peer netværk, for at stjæle båndbredde og datakraft.
BDE programmet fjernes IKKE ved afinstallering af Kazaa. Men her burde være
noget der virker (kilde: Alt Om Data):
http://news.com.com/2100-1023-875274.html
http://www.kazaalite.com er en "spion-fri" udgave af Kazaa. Der finder du
også programmet (freeware) "Ad-awere" som finder spyware på din computer.
http://spycop.com er hjemsted for et andet program der kan fjerne spioner.
Held og lykke!
--
MVH
John K Hansen
www.jkhansen.dk
(Fjern NOPE fra E-mail adresse)
| |
Anders Lund (28-09-2002)
| Kommentar Fra : Anders Lund |
Dato : 28-09-02 17:38 |
|
Eskil Frantzen <lampen68@tiscali.dk>, wrote in
<news:tvjl9.44519$Qk5.1805429@news010.worldonline.dk>:
> Er det her spyware, eller er det et andet program jeg har været uheldig at
> få ind på min maskine ? Andre der har prøvet noget lign.?
Jeg synes du skulle læse den her - det er det du er stødt ind i:
http://grc.com/dos/grcdos.htm
--
Anders Lund - spam2002q3@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix
Soldat - Grineren Worms/Counter Strike spil - http://www.soldat.prv.pl
| |
Eskil Frantzen (29-09-2002)
| Kommentar Fra : Eskil Frantzen |
Dato : 29-09-02 03:47 |
|
Fucked up.
shawcable.net
optonline.net
det var 2 af de udbydere jeg fik attacks fra. fik attacks fra andre, men
ikke lige i den liste på linket.
"Anders Lund" <news@anders.adsl.dk> wrote in message
news:an4lsm$29m0$1@news.cybercity.dk...
> Eskil Frantzen <lampen68@tiscali.dk>, wrote in
> <news:tvjl9.44519$Qk5.1805429@news010.worldonline.dk>:
>
> > Er det her spyware, eller er det et andet program jeg har været uheldig
at
> > få ind på min maskine ? Andre der har prøvet noget lign.?
>
> Jeg synes du skulle læse den her - det er det du er stødt ind i:
> http://grc.com/dos/grcdos.htm
>
> --
> Anders Lund - spam2002q3@andersonline.dk
> OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix
> Soldat - Grineren Worms/Counter Strike spil - http://www.soldat.prv.pl
>
| |
Alex Holst (29-09-2002)
| Kommentar Fra : Alex Holst |
Dato : 29-09-02 03:55 |
|
Eskil Frantzen <lampen68@tiscali.dk> wrote:
> Så begyndte jeg at få skumle errors, win2k kunne ikke finde en help fil i
> system32 diret olign. Suspekt nok, men trykkede bare cancel hver gang det
> skete.
Hvordan er det muligt? Almindelige brugere har ikke skriveadgang til
system32 folderen. Du er vel ikke logget paa som administrator naar du
bruger maskinen til daglig?
Det lyder til at du har startet et program du ikke skulle have startet.
Installer din maskine igen og brug OSS'en til at forhindre lignende
tilfaelde:
http://a.area51.dk/sikkerhed/
> En ting er sikkert, der går nok lang tid før jeg rører programmer som kazaa
> igen.
Kazaa er ikke problemet. Du har nok hentet en mp3 sang eller mpeg film
der i virkeligheden var noget andet. Der er adskellige orme som benytter
mIRC til at kontakte en IRC server til at modtage Denial of Service
kommandoer fra deres master.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
|
|