Bitte um Rat - Keylogger Backdoor.livup

Re(6): Bitte um Rat - Keylogger Backdoor.livup

Marie_30 — Thu, 08 Jul 2004 16:49:36 GMT

also nutzen wäre den dienstnehmern auf die finger zu schauen. dazu gibt es ja tools, etwa "spector". ich denke, ein eigenes tool werden die nicht programmieren, sondern eher eines verwenden das es schon gibt.
Es ist auch ein Smily symbol in der Leiste rechts unten - wo keiner weis wozu das gehört - und auf Fragen dannach - oh Wunder keine Antwort.

Re(5): Bitte um Rat - Keylogger Backdoor.livup

Qbus — Wed, 07 Jul 2004 16:34:13 GMT

ich bezweifle sehr stark, dass das von deiner firma installiert wurde. denn dann müsste deine firma autor dieses programms sein um daraus überhaupt einen nutzen ziehen zu können

Re(4): Bitte um Rat - Keylogger Backdoor.livup

Marie_30 — Wed, 07 Jul 2004 16:25:47 GMT

tja...tangiert mich nur insofern als ich mich privat nicht ausspitzeln lass vom Boss.
sonst ist es mir sowas von egal, ich werde als user gezahlt, nicht als edv-fachkraft. Nur ob das backdoor von meiner firma absichtlich installiert wurde, weis ich noch immer nicht.Jedenfalls danke für die antworten.

Re(3): Bitte um Rat - Keylogger Backdoor.livup

Qbus — Wed, 07 Jul 2004 10:12:30 GMT

Upon execution, this non-memory resident backdoor program connects to the following Web site:

      http://1234.2<blocked>ro.com/

also, das programm macht ne verbindung zu o.g. seite

Then, it downloads the following files into the current directory:

    * LIVEUP.EXE (34,816 bytes)
    * HOST.XML (2,271 bytes)

lädt diese beiden dateien runter

It consequently executes the downloaded malware component LIVEUP.EXE. The said file also downloads and executes another file into the current directory named as the following:

    * MSSTART.EXE (139,264 bytes)

führt die runtergeladene liveup.exe aus, welche wiederum die mssstart.exe runterlädt und ausführt

When MSSART.EXE runs, it deletes LIVUP.EXE.

wenn msstart startet, loescht es liveup.exe (anm. es ist jetzt installiert und loescht sozusagen den installer den es nicht mehr braucht)

Autostart Technique

To enable its automatic execution at every system startup, this malware creates the following registry entry:

HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/Run
MSSTART = <malware path>\MSSTART.EXE

damit unser liebes programm auch immer läuft macht es einen autostart eintrag in die registry und wird somit bei jedem windows start geladen

Backdoor Routines

The malware file MSSTART.EXE connects to a remote Web site and waits for commands to process on the system via port 80.

tja, und wenn es läuft, dann verbindet es sich irgendwohin und wartet auf anweisungen, was es auf deinem pc machen soll

Once it is connected to a malicious site, the remote user is rendered capable of carrying out various malicious actions, depending on the version of the downloaded malware component.

auf gut deutsch: mit deinem pc kann praktisch alles gemacht werden

Re(3): Bitte um Rat - Keylogger Backdoor.livup

GriLLe — Wed, 07 Jul 2004 07:01:59 GMT

Hi
-- quote
ich bin mir sicher, bespitzelt zu werden. Ein mal hat mir ein Kollege aus der EDV gesagt das ein Programm protokolliert,...
--endquote
Aber sicher nicht mit MSstart! Da bespitzelt eher jemand anders die Firma oder einzelne Firmenangestellte!

--quote
...Ein anderes mal habe ich ein Gespräch vom Abteilungsleiter belauscht: "die Leute gehen dauernd ins Internet" - ähem woher will er denn das wissen???...
-- endquote
Von der Abrechnung des Datenvolumens oder der Onlinezeit? Wenig Ahnung und Augen auf reicht da aus. Möglicherweise gehen auch nicht die Leute, sondern MSstart ins Internet? Weil
-- quote
The malware file MSSTART.EXE connects to a remote Web site and waits for commands to process on the system via port 80.
--endquote
bedeutet MSstart wartet über Port 80 (normaler internetverkehr für browser!) auf Befehle bzw. auf Programme, die nachgeladen werden. Die nachgeladenen Programme sind dann erst die eigentlichen Schädlinge, weil deren Funktion sehr weit variieren kann. Die könnten durchaus auch die Abbild-Bluescreens verursachen!
Ich kenne die Firma und Deine Stellung zu ihr nicht, würde aber wegen denkbarer Werksspionage dringend zu einer Andeutung an den Sysadmin raten. Entweder mit zugegebenem Knoff-hoff annonym über falsche emailadresse Beispielsweise "Habe den Verdacht, dass in Ihrem Haus ein Backdoor-Spionageprogramm namens MSstart existiert". Dann nie mehr abfragen. Oder unter dem Motto "das hatte ich noch nie" ahnungslos fragen was die Abbild-Meldungen mit den darauffolgenden Bluescreens für eine Ursache haben.
Gruß und *zirp*
GriLLe
--
Aus der Reihe "Was ist das?":
WWW: Interaktives Echtzeit-Herumstochern in einer Informationssuppe.

Re(2): Bitte um Rat - Keylogger Backdoor.livup

Marie_30 — Tue, 06 Jul 2004 21:14:22 GMT

daraus werd ich nicht schlau.

Re(2): Bitte um Rat - Keylogger Backdoor.livup

Marie_30 — Tue, 06 Jul 2004 21:07:26 GMT

gerade das möchte ich nicht machen. Damit gebe ich zu erkennen das ich mich zumindest ein bissl auskenne. Wenn es ein Schädling ist - die EDV ist nicht meine Zuständigkeit, ich will mir da nichts anmaßen bzw. mich exponieren. Wissen ist Macht und wenn ich den Schnabel halte und weiß was Sache ist bin ich im Vorteil.

ich bin mir sicher, bespitzelt zu werden. Ein mal hat mir ein Kollege aus der EDV gesagt das ein Programm protokolliert, wer gerade auf welchem PC eingeloggt ist und welche Programme von dem User aufgerufen wurden. Er wollte mir aber nicht mehr dazu sagen. Ein anderes mal habe ich ein Gespräch vom Abteilungsleiter belauscht: "die Leute gehen dauernd ins Internet" - ähem woher will er denn das wissen???

warum sollte ein Backdoor nicht bewußt als Tool eingesetzt werden? Wenn es ein Schädling wäre, den sich wer beim surven eingetreten hat, wäre das teil doch nicht auf allen Pc's.

andere dienste im task manager zu denen ich nichts gefunden habe sind:
tardisnt.exe
ttray.exe
fmstart.exe
Win1ATermin.exe
und eben der MSstart.exe den ich verdächtige.

noch was: wenn ein Programm im Hintergrund läuft - ohne in der Leiste unten rechts aufzuscheinen, der Prozess wäre doch im Taskmanager sichtbar, oder?

Re(2): Bitte um Rat - Keylogger Backdoor.livup

Marie_30 — Tue, 06 Jul 2004 21:04:13 GMT

ich habe nur user rechte und habe auch nicht vor, etwas zu verschlüsseln. ich wüßte nur zu gerne, womit ich rechnen muss. vielleicht hat der bluescreen auch nichts mit dem MSstart.exe zu tun, nur durch das Wort "Speicherabbild" wurde ich mißtrauisch.

Re(2): Bitte um Rat - Keylogger Backdoor.livup

phj — Tue, 06 Jul 2004 21:02:46 GMT

Vielleicht ist der Admin der Schädling

Re: Bitte um Rat - Keylogger Backdoor.livup

Funki — Tue, 06 Jul 2004 20:01:14 GMT

da steht eh das wichtigste

When MSSART.EXE runs, it deletes LIVUP.EXE.

Autostart Technique

To enable its automatic execution at every system startup, this malware creates the following registry entry:

HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/Run
MSSTART = \MSSTART.EXE

Backdoor Routines

The malware file MSSTART.EXE connects to a remote Web site and waits for commands to process on the system via port 80.

Once it is connected to a malicious site, the remote user is rendered capable of carrying out various malicious actions, depending on the version of the downloaded malware component.

Re: Bitte um Rat - Keylogger Backdoor.livup

Akilae — Tue, 06 Jul 2004 19:50:32 GMT

Ich würd amal deinen Adminstrator kontaktieren da er sich vl. gar nicht über dieses
Problem im klaren ist. Vielleicht ist es wirklich ein Schädling...

Re: Bitte um Rat - Keylogger Backdoor.livup

Strahli — Tue, 06 Jul 2004 19:34:38 GMT

glaub nicht das das ein keylogger ist.

ein speicher-abbild wird immer erstellt wenn ein blue-screen kommt. und wenn die wissen wollen was du im internet so anstellst, dann werden die eh ein gescheiten sniffer benutzen. und dann können die eh deine daten lesen die übers netzt gehen und nicht sonderlich verschlüsselt sind.

Re: Bitte um Rat - Keylogger Backdoor.livup

Somnatic — Tue, 06 Jul 2004 19:21:03 GMT

klingt mir eher nicht nach keylogger

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR_LIVUP.C&VSect=T

klingt mehr nach sonstigem Schädling...

Bitte um Rat - Keylogger Backdoor.livup

Marie_30 — Tue, 06 Jul 2004 18:56:12 GMT

Hallo zusammen,

ich habe den Verdacht das auf meinem Arbeits PC, auf dem ich nur User-Rechte habe, ein Keylogger installiert ist.

Es kam öfters die Anzeige "Erstellen eines Speicherabbildes" in Verbindung mit Bluescreen.
Ich suche im Taskmanager und habe mit Google-hilfe alle Prozesse angesehen.

Der Prozess MSstart.exe ist laut Trend Micro ein Backdoor.livup.
und auch auf anderen PC's der Firma ist das Ding drauf, das ist kein Versehen oder ungewollte Installation.

Ich finde es schon schlimm genug, bei der Arbeit über die Schulter geschaut zu bekommen, obwohl ich wirklich nur selten private sachen gemacht habe (GXM.at).

Meine Frage nun: wer weis, was alles mit diesem MSstart.exe möglich ist? Kann damit der Admin nur zeitgleich mitschauen als wäre es an meinem PC oder werden auch Screenshots gemacht oder gar jeder Tastenschlag protokolliert?
Ich habe auch private Mails geschrieben und habe jetzt Angst das die wer gelesen hat.

Übrigens ist die Rechtslage klar: das dürften sie nur dann wenn die private Internetnutzung untersagt wurde. Das ist in meinem Vertrag aber nicht der Fall. Ich wurde nicht auf dieses Bespitzeln aufmerksam gemacht und fühle mich wirklich übervorteilt.