Bitte um Rat - Keylogger Backdoor.livup

Bitte um Rat - Keylogger Backdoor.livup (14 Beiträge, 151 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hallo zusammen,

ich habe den Verdacht das auf meinem Arbeits PC, auf dem ich nur User-Rechte habe, ein Keylogger installiert ist.

Es kam öfters die Anzeige "Erstellen eines Speicherabbildes" in Verbindung mit Bluescreen.
Ich suche im Taskmanager und habe mit Google-hilfe alle Prozesse angesehen.

Der Prozess MSstart.exe ist laut Trend Micro ein Backdoor.livup.
und auch auf anderen PC's der Firma ist das Ding drauf, das ist kein Versehen oder ungewollte Installation.

Ich finde es schon schlimm genug, bei der Arbeit über die Schulter geschaut zu bekommen, obwohl ich wirklich nur selten private sachen gemacht habe (GXM.at).

Meine Frage nun: wer weis, was alles mit diesem MSstart.exe möglich ist? Kann damit der Admin nur zeitgleich mitschauen als wäre es an meinem PC oder werden auch Screenshots gemacht oder gar jeder Tastenschlag protokolliert?
Ich habe auch private Mails geschrieben und habe jetzt Angst das die wer gelesen hat.

Übrigens ist die Rechtslage klar: das dürften sie nur dann wenn die private Internetnutzung untersagt wurde. Das ist in meinem Vertrag aber nicht der Fall. Ich wurde nicht auf dieses Bespitzeln aufmerksam gemacht und fühle mich wirklich übervorteilt.

klingt mir eher nicht nach keylogger

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR_LIVUP.C&VSect=T

klingt mehr nach sonstigem Schädling...

Spezielle User: Fly, RealBorg, UMC, Wizard31, Glockman, Gilgalad, kgerstl, Xane, kaukus, Sondierungsgehilfe
Mut ist oft Mangel an Einsicht, während Feigheit nicht selten auf guten Informationen beruht. Sir Peter Ustinov

glaub nicht das das ein keylogger ist.

ein speicher-abbild wird immer erstellt wenn ein blue-screen kommt. und wenn die wissen wollen was du im internet so anstellst, dann werden die eh ein gescheiten sniffer benutzen. und dann können die eh deine daten lesen die übers netzt gehen und nicht sonderlich verschlüsselt sind.
_______________________________________________

Mit Computer lösen wir die Probleme die wir ohne sie nicht hätten!!!

Woher soll ich wissen was ich schreibe, bevor ich lese was ich denke?!

Wer Rechtschreibfehler findet darf sie behalten !

ich habe nur user rechte und habe auch nicht vor, etwas zu verschlüsseln. ich wüßte nur zu gerne, womit ich rechnen muss. vielleicht hat der bluescreen auch nichts mit dem MSstart.exe zu tun, nur durch das Wort "Speicherabbild" wurde ich mißtrauisch.

Ich würd amal deinen Adminstrator kontaktieren da er sich vl. gar nicht über dieses
Problem im klaren ist. Vielleicht ist es wirklich ein Schädling...

M.f.G
Aki

WinXP, DX 9.0b, Servicepack 2 RC2,
Pentium4 2,8 GHz 800FSB HT
2x 512 MB Corsair DDR400 DUAL 2.3.3.6 @ 2-2-2-5
ABIT IC7-MAX3
Hercules 3D Prophet 9800 Pro
MSI Dragonwriter 52x
2x Western Digital Raptor 10k UPM 74Gb
Enermax EG465AX-VE-G-FCA/FMA, 433W/460W
Avance B031 Titanium Black, Schraubenlos Sichtfenster und Kaltlichtkathode

Vielleicht ist der Admin der Schädling

Hilf auch Du! http://forum.geizhals.at/t261360.html

gerade das möchte ich nicht machen. Damit gebe ich zu erkennen das ich mich zumindest ein bissl auskenne. Wenn es ein Schädling ist - die EDV ist nicht meine Zuständigkeit, ich will mir da nichts anmaßen bzw. mich exponieren. Wissen ist Macht und wenn ich den Schnabel halte und weiß was Sache ist bin ich im Vorteil.

ich bin mir sicher, bespitzelt zu werden. Ein mal hat mir ein Kollege aus der EDV gesagt das ein Programm protokolliert, wer gerade auf welchem PC eingeloggt ist und welche Programme von dem User aufgerufen wurden. Er wollte mir aber nicht mehr dazu sagen. Ein anderes mal habe ich ein Gespräch vom Abteilungsleiter belauscht: "die Leute gehen dauernd ins Internet" - ähem woher will er denn das wissen???

warum sollte ein Backdoor nicht bewußt als Tool eingesetzt werden? Wenn es ein Schädling wäre, den sich wer beim surven eingetreten hat, wäre das teil doch nicht auf allen Pc's.

andere dienste im task manager zu denen ich nichts gefunden habe sind:
tardisnt.exe
ttray.exe
fmstart.exe
Win1ATermin.exe
und eben der MSstart.exe den ich verdächtige.

noch was: wenn ein Programm im Hintergrund läuft - ohne in der Leiste unten rechts aufzuscheinen, der Prozess wäre doch im Taskmanager sichtbar, oder?

Hi
-- quote
ich bin mir sicher, bespitzelt zu werden. Ein mal hat mir ein Kollege aus der EDV gesagt das ein Programm protokolliert,...
--endquote
Aber sicher nicht mit MSstart! Da bespitzelt eher jemand anders die Firma oder einzelne Firmenangestellte!

--quote
...Ein anderes mal habe ich ein Gespräch vom Abteilungsleiter belauscht: "die Leute gehen dauernd ins Internet" - ähem woher will er denn das wissen???...
-- endquote
Von der Abrechnung des Datenvolumens oder der Onlinezeit? Wenig Ahnung und Augen auf reicht da aus. Möglicherweise gehen auch nicht die Leute, sondern MSstart ins Internet? Weil
-- quote
The malware file MSSTART.EXE connects to a remote Web site and waits for commands to process on the system via port 80.
--endquote
bedeutet MSstart wartet über Port 80 (normaler internetverkehr für browser!) auf Befehle bzw. auf Programme, die nachgeladen werden. Die nachgeladenen Programme sind dann erst die eigentlichen Schädlinge, weil deren Funktion sehr weit variieren kann. Die könnten durchaus auch die Abbild-Bluescreens verursachen!
Ich kenne die Firma und Deine Stellung zu ihr nicht, würde aber wegen denkbarer Werksspionage dringend zu einer Andeutung an den Sysadmin raten. Entweder mit zugegebenem Knoff-hoff annonym über falsche emailadresse Beispielsweise "Habe den Verdacht, dass in Ihrem Haus ein Backdoor-Spionageprogramm namens MSstart existiert". Dann nie mehr abfragen. Oder unter dem Motto "das hatte ich noch nie" ahnungslos fragen was die Abbild-Meldungen mit den darauffolgenden Bluescreens für eine Ursache haben.
Gruß und *zirp*
GriLLe
--
Aus der Reihe "Was ist das?":
WWW: Interaktives Echtzeit-Herumstochern in einer Informationssuppe.

da steht eh das wichtigste

When MSSART.EXE runs, it deletes LIVUP.EXE.

Autostart Technique

To enable its automatic execution at every system startup, this malware creates the following registry entry:

HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/Run
MSSTART = \MSSTART.EXE

Backdoor Routines

The malware file MSSTART.EXE connects to a remote Web site and waits for commands to process on the system via port 80.

Once it is connected to a malicious site, the remote user is rendered capable of carrying out various malicious actions, depending on the version of the downloaded malware component.

mfg

Arzt zum Patienten: "Eigentlich müßten sie schon seit zehn Jahren tot sein - zumindest nach den medizinischen Fachbüchern. Patient zum Arzt: "Tja, das ist so 'ne Sache. Der liebe Gott läßt zwar zu, daß solche Bücher geschrieben werden, aber er liest sie nicht.
Wolfgang J. Reus
(*1959), deutscher Journalist, Satiriker, Aphoristiker und Lyriker

http://security.mods.de/

daraus werd ich nicht schlau.

Upon execution, this non-memory resident backdoor program connects to the following Web site:

      http://1234.2<blocked>ro.com/

also, das programm macht ne verbindung zu o.g. seite

Then, it downloads the following files into the current directory:

    * LIVEUP.EXE (34,816 bytes)
    * HOST.XML (2,271 bytes)

lädt diese beiden dateien runter

It consequently executes the downloaded malware component LIVEUP.EXE. The said file also downloads and executes another file into the current directory named as the following:

    * MSSTART.EXE (139,264 bytes)

führt die runtergeladene liveup.exe aus, welche wiederum die mssstart.exe runterlädt und ausführt

When MSSART.EXE runs, it deletes LIVUP.EXE.

wenn msstart startet, loescht es liveup.exe (anm. es ist jetzt installiert und loescht sozusagen den installer den es nicht mehr braucht)

Autostart Technique

To enable its automatic execution at every system startup, this malware creates the following registry entry:

HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/Run
MSSTART = <malware path>\MSSTART.EXE

damit unser liebes programm auch immer läuft macht es einen autostart eintrag in die registry und wird somit bei jedem windows start geladen

Backdoor Routines

The malware file MSSTART.EXE connects to a remote Web site and waits for commands to process on the system via port 80.

tja, und wenn es läuft, dann verbindet es sich irgendwohin und wartet auf anweisungen, was es auf deinem pc machen soll

Once it is connected to a malicious site, the remote user is rendered capable of carrying out various malicious actions, depending on the version of the downloaded malware component.

auf gut deutsch: mit deinem pc kann praktisch alles gemacht werden

tja...tangiert mich nur insofern als ich mich privat nicht ausspitzeln lass vom Boss.
sonst ist es mir sowas von egal, ich werde als user gezahlt, nicht als edv-fachkraft. Nur ob das backdoor von meiner firma absichtlich installiert wurde, weis ich noch immer nicht.Jedenfalls danke für die antworten.

ich bezweifle sehr stark, dass das von deiner firma installiert wurde. denn dann müsste deine firma autor dieses programms sein um daraus überhaupt einen nutzen ziehen zu können

also nutzen wäre den dienstnehmern auf die finger zu schauen. dazu gibt es ja tools, etwa "spector". ich denke, ein eigenes tool werden die nicht programmieren, sondern eher eines verwenden das es schon gibt.
Es ist auch ein Smily symbol in der Leiste rechts unten - wo keiner weis wozu das gehört - und auf Fragen dannach - oh Wunder keine Antwort.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung