Oder aber du startest einen Trojaner aus dem E-Mail-Anhang, der den Internet Explorer startet (das meinst du mit "Miniwebbrowser") und damit selbstständig eine Seite auf dem Server aufruft (Szenario 2).
Ok, das macht Sinn.
Ich war etwas irritiert, weil der Typ das erste Szenarion (locken mit 20.000 Euro-Link in einer Email) ansprach und das als weniger wahrscheinlich ansah.
Darum ging ich davon aus, dass beim 2. Szenario nicht schonwieder eine E-Mail verwendet wird. Aber dann macht es mit deiner erklärung auch Sinn.
Er sprach ja davon, seinem Opfer einen Trojaner unterzuschieben.
Hierbei ging ich davon aus, dass er den Trojaner irgendwo auf eine Seite läd oder per Messenger versendet.
Als Beispiel nannte er das Betrachten eines Aktmodels durch das draufklicken auf das attachment (Anhang) und im Hintergrund steuert dann (aktiviert durch das Klicken auf das Model) der IE irgend einen Server an weil das so im Trojaner programmiert ("Miniwebbrowser") wurde.
Da hilft Brain.exe michts mehr...
von der ganzen Aktion und den vielen Warnungen die sämtliche Programme melden, würde man nichts mitbekommen weil beim betrachten des Models das Blut aus dem Hirn in eine andere Richtung gepummpt wird ^^
der IE sollte eh niemals Netzwerkkontakt bekommen
Hab die iexplore.exe eingehend und ausgehend für alle Ports blockiert. ^^
Wenn ein - infizierter - Rechner erstmal Kontakt zum Server hat, dann kann der Server auf Port 80 "lauschen"; eben weil er über diesen Port über den Internet Explorer mit deinem Rechner verbunden ist. Und dank des Trojaners kann er dank der bestehenden Verbindung - die ja ursprünglich von deinem Rechner kam - ohne Gegenwehr der XP-Firewall auf deinen Rechner zugreifen
Ah ok, das ist dann aber bei der Win7-FW nicht mehr möglich, wegen der Whitelist. (eingehend alle Regeln gelöscht, ausgehend nur bestimmte Regeln)
Ohne den Trojaner kann der Server höchstens auf deinem Port 80 lauschen, wenn du dich mit ihm verbunden hast, aber er kann nicht auf deinen Rechner zugreifen. Wenn einfach jeder Server, mit dem man sich verbindet, über Port 80 auf den eigenen Rechner zugreifen könnte, dann dürfte man sich nicht mehr ins Internet trauen.
Wenn der lauschen kann, dann kann er aber Daten wie Passwörter usw. abfangen oder funktioniert das auch
nur wenn ein Trojaner drauf ist ?
Dagegen hilft dann vermutlich einmal der Verstand und TCPView zum überprüfen.
Außerdem sind bei dir alle Remote-Dienste deaktiviert (inkl. server)und der lokale Netzwerkzugriff ist maximal eingeschränkt.
Ja, alle Dienste die du im Post #33 angegeben hast habe ich deaktiviert.
Und heute habe ich noch mit Hilfe des Tools Autorun ->[im Reiter] = Logon , den Haken bei
rdpclip entfernt
Laut Recherche dient das Teil für
remote desktop connections to your computer
Deine DNS-Regel ist sicher; denn wenn eine DNS-Manipulation versucht würde, dann auf deinem Rechner (statt im Router). Da die Windows-Firewall und die KIS-Firewall aber nur DNS-Kontakt zu einer einzigen Adresse zulassen (eben dein Router), würdest du einfach keine Internetverbindung mehr bekommen (weil die DNS-Regel wegen falscher Zieladressen nicht angewendet wird).
Es sei, irgendwie durch Zauber und Magie ... schaffen es Angreifen die IP in meinem Router und in meiner DNS-Regel zu ändern. Aber selbst da würde ich vermutlich kein Internet mehr haben. Da keine Verbindung mehr zur Telekom....
Ich gehe stark davon aus, dass Hacker IP-Adressen automatisch über Programme abgrasen.
Hat das der Typ im Video am Anfang nicht gesagt, dass er die Rechner scannen müsste ? Aber da sprach er von einem Netzwerk und nicht vom Internet... oder meinte er mit Netzwekr das internet ? ^^ Er sagte ja auch, dadurch, dass er nur einen Rechner Scannt, ginge der Scan schnell.
Edit: Ach ich glaube dort hat es die Ports gescannt und nicht die IPs.. da sprach er doch von 1000, Ports, die alle gescannt und gefiltert seien und dewegen die FW umgehen müsste.
Auch wenn dieses Szenario mit gut gewählten Einstellungen ins Leere läuft, soll das natürlich nicht heißen, dass man fahrlässig E-Mail-Anhänge öffnen oder verseuchte Seiten aufrufen sollte!
Man muss auch mal was riskieren können ^^
Habe mir mal TCP und UDP Ports rausgeschrieben die von Trojanern verwendet werden.
Aber vermutlich müsse diese wegen der Whitelist nicht extra blockiert werden.
Ich poste sie dennoch
PS: Port 80 habe ich nicht mit aufgezählt,
Port 21 ist in der Liste... wird für FTP-Downloads benötigt.
Port 25 auch in der Liste und wird für "Simple Mail Transfer Protocol" benötigt.
Das war bei mir im Thunderbird standrtmäßig aktiviert, dennoch überflüssig.
zu Port 25 habe ich hier noch einen interessanten Link für seine verwendung und seine Gefahren.
http://www.uni-due.de/zim/services/sicherheit/port_25.shtml
TCP-Trojanerports:
2, 21, 23, 25, 31, 41, 48, 50, 53, 58, 59, 79,99, 110, 113, 119, 121, 123, 133, 146, 170, 315,421, 456, 531, 555, 606, 666, 667, 669, 692, 777, 808, 815, 911, 999, 1000, 1001, 1003, 1010, 1011, 1012, 1015, 1016, 1020, 1024, 1025, 1029, 1033, 1034, 1042, 1045, 1047, 1050, 1080, 1081, 1082, 1083, 1090, 1095, 1097, 1098, 1099, 1100, 1137, 1999, 2000, 2001, 2002, 2003, 2004, 2005, 2023, 2080, 2115, 2208, 2283, 2300, 2565, 2583, 2600, 2718, 2773, 2801, 2989, 3000, 3024, 3128, 3129, 3456, 3459, 3586, 3700, 3791, 4000, 4092, 4242, 4245, 4321, 4444, 4567, 4590, 4950, 5000, 5001, 5011, 5031, 5032,5321, 5333, 5343, 5400, 5401, 5402, 5512, 5521, 5550, 5555, 5556, 5557, 5569, 5598, 5637, 5638, 5698, 5714, 5741, 5742, 5882, 5888, 5889, 6000, 6006, 6272, 6400, 6500, 6666, 6667, 6669, 6670, 6711, 6712, 6713, 6723, 6767, 6771, 6776, 6789, 6883, 6912, 6939, 6969, 6970, 7000, 7001, 7201, 7215, 7300, 7301, 7306, 7307, 7308, 7424, 7597, 7609, 7789, 7983, 8080, 8787, 8897, 8989, 9000, 9400, 9872, 9873, 9874, 9875, 9876, 9878, 9989, 9999, 10085, 10086, 10101, 10520, 10528, 10607, 11000, 11050, 11051, 11223, 12076, 12223, 12345, 12346, 12349, 12361, 12362, 12624, 12631, 12701, 12754, 13000, 13010, 13700, 14456, 14500, 14501, 14502, 14503, 15000, 15092, 15104, 16484, 16660, 16772, 16969, 17166, 17300, 17490, 17500, 17569, 17777, 19864, 20000, 20001, 20002, 20034, 20203, 20331, 20432, 21544, 21554, 22222, 23005, 23023, 23432, 23456, 23476, 23477, 26681, 27374, 27665, 29104, 30001, 30029, 30100, 30101, 30102, 30103, 30133, 30303, 30947, 30999, 31336, 31337, 31338, 31339, 31554, 31666, 31778, 31785, 31787, 31792, 32100, 32418, 33333, 33577, 33777, 33911, 34324, 37651, 40412, 40421, 40422, 40423, 40425, 40426, 41666, 43210, 44444, 49301, 50505, 50766, 51996, 53001, 53217, 54283, 54321, 57341, 58339, 60000, 60068, 60411, 61348, 61466, 61603, 63485, 65000, 65432, 65535
UDP-Trojanerports:
118, 555, 815, 1025, 1029, 1200, 1201, 1208, 1349, 2140, 2989, 3150, 3801, 4711, 5881, 5882, 5888, 6838, 6969, 7424, 9325, 10067, 10167, 10666, 12623, 18753, 20432, 23005
23456, 23476, 26274, 27444, 28431, 28432, 29891, 30103, 31335, 31337, 31338, 31788, 31789, 31790, 31791, 34555, 35555, 41666, 47262, 54320, 54321, 65432
Hier könnt ihr bei emisoft die Ports nachprüfen falls ihr wollt
http://www.emsisoft.de/de/kb/portlist/