Stort antal trojans.

Security Threats from NAI

22 Aug  W32/VCK.3037 
20 Aug  W32/Panoil.b@MM 
21 Aug  W32/Gaobot.worm.y 

Og selvfølgelig Blaster køre meget r undt i øjeblikket

Bliver de registreret som sub7 i norton?

Subseven har vel normalt en helt annen spredningsprofil og spredningsmåte måte enn sobig. Den sprer seg vel en hel del mere langsomt, mens angrepene "bare" er rettet mot bestemte mål. Kan spres via gratis programmer som "vedlegg". Du er sikker på at "angrepene" kommer utenfra og ikke innenfra ? Hva sier loggen ??

Sub seven er ellers ingen "virus" men en "typisk" trojan. Er egentlig av forholdvsis "gammel" dato men blir vel kanskje vedlikeholdt og "modernisert"

Angrebene er udefra. Bla fra us/canada/isreal osv....

Og har scannet for trojans. Samt online virusscanning.

Eks fra log:
"Trojan attempt detected from address xx.xx.xxx.xx by rule "Default Block Backdoor/SubSeven Trojan horse".
Blocked further access for 30 minutes."

Sub seven inneholder blandt annet server funksjoner som muliggjør at den som sitter med en sub seven client kan overta kontrollen over maskinen din hvis du har fått en Sub seven installert på maskinen din for eksempel vha gratis programvare.

Den kan også sende beskjed om alle dine tastetrykk til en mottaker (Hvis du har den på din maskin).

Den kan også gjennomføre automatiserte portscan fra den maskin den står installert på. Det spørs om det er et slikt automatisert portscan fra en annen infisert maskin som når din maskin.

Det er sånn sett ganske viktig om Subseven meldingene kommer som resultat av trafikk utenfra eller som et resultat av trafikk innefra fordi din egen maskin er infisert.

Da er det vel snakk om et automatisert "angrep" eller en scanning utenfra. I seg selv ikke kjempekritisk.

Det forhold at denne trafikken i det hele når fram til din maskin viser at du ikke kjører noen hardware firewall. Den viser også at du har en global ip som går direkte inn på din maskin "bare" beskyttet av en personal firewall.

En hardware firewall "in-front" som fjerner all slik trafikk før den når fram til maskinen din ville ikke være dumt. Kan kjøpes fra ca kr 400,-

http://vil.nai.com/vil/content/v_10566.htm

W32/VCK.3037  Har ingen ting med sub seven å gjøre (?):
http://vil.nai.com/vil/content/v_100572.htm

W32/Panoil.b@MM  Heller ikke denne (?):
http://vil.nai.com/vil/content/v_100570.htm

Når jeg tager en "All Service Ports" scanning her: https://grc.com/x/ne.dll?bh0bkyd2 er alle mine porte stealthed.
Har desværre ikke råd til en hardware firewall.
Det er bare fordi antallet er exploderet siden igår. Har ikke installeret noget specielt, og bruger kun gamespy, counterstrike mirc og icq online.

W32/Gaobot.worm.y Og heller ikke denne:
http://vil.nai.com/vil/content/v_100566.htm

En scan med denne:  https://grc.com/x/ne.dll?bh0bkyd2

Forteller for så vidt bare at firewall sannsynligvis fungerer helt ok, ellers så ville du sett åpne porter. Om du eventuelt har noen trojan må sjekkes på endre måter. Den vil eventuelt kunne kjøre på innsiden av firewall slik at den er "usynlig".

Den største risikoen ved softwarefirewalls det er vel at de ofte er så enkle og hurtige å feilkonfigurere eller det kan være hurtig å gi en feil brukerinnput. Så lenge de er rett konfigurert og betjenes riktig så fungerer de vel rimelig ok.

En gammel PC med 2 stk nettverkskort og gratis Smoothwall 2.0 blir til en veldig bra firewall http://www.smoothwall.org

Her i den sidste tid har jeg fået ca. 30 mails hver dag, elle sendt af Sobig.F virussen - Heldigvis har man Panda som stopper dem med det samme - Uden bøvl

elle = alle, selfølgelig

Har scannet for trojans. Ingen fundet.
Har heldigvis ikke fået en eneste mail med sobig f.
Men jeg ka vel regne med at det er en mindre bølge hvis det stiller af i løbet af et par dage (havde en ligende bølge i maj)

man skal bare opsætte en trap; mange af dem som scanner er newbies, og har selv trojanen lyttende aktivt. så i det split sekund de scanner ens computer -*bam* - så er det sgu slut prut.

Ja det er mye merkelig der ute. Hvorfor subseven egentlig driver å scanner utvalgte mål det vet jeg ikke, for jeg tror at den viktigste spredningsmekanismen er via infiserte programmer. Hvis man kjører en hardware firewall så vil man normalt være lykkelig uvitende om all denne aktiviteten, med mindre man setter den opp til å generere logg. Hvis man kombnerer en hardware firewall for eksempel smoothwall med Norton personal firewall så vil det være uhyre skjelden eller så godt som aldri at det kommer noen "skummel trafikk" fram til personal firewall i det hele tatt.

squashguy -> Hvordan gør jeg det?

langbein -> Har faktisk en gammel oldsag stående. Kan smoothwall kører på win95 og en pentium75?

så skal du i gang med at kode. du laver en server, som simulerer et antal trojanere (du kigger på den protokol de bruger), og når hax0ren forsøger at komme ind, så knalder du ham.

Det kan den muliggens, men Win 95 blir da overskrevet slik at den vil forsvinne. Prosessoren vil vel sansynligvis være ok, det kritiske vil være kravet til minne (ram). Smoothwall inneholder sitt eget operativsystem, dvs Linux slik at Windows 95 vil bli overskrevet og slettet.

squashguy -> Tror jeg nøjes med at sende mail til brugers isp.
langbein -> Ok. Men den har 96mb.

Hvis den har 96 MB + Pentium 75 så bør dette kjøre helt fint. Den neste faktoren som kan være litt kritisk er å få tak i to nettverkskort som den kan detekte og bruke. Hvis dette er moderne pci kort så pleier det ikke å være noe problem. Hvis det der i mot dreier seg om gamle kort så må man bare prøve seg fram. Det kan godt kjøre fint, men man bør i starten nøye seg med 2 kort. Min erfaring at det kan gi bugs å forsøke å sette opp med 3 kort og dmz hvis det dreier seg om gamle nettverkskort. "Vanlig firewall" med 2 nettverkskort pleier å fungere enklere.

Ok. Jeg takker for hjælpen.
Hvis det ikke stilner af i løbet af et par dage, sætter jeg den gamle comp op med smoothwall. (ska bare lige have fat i et extra netkort)