Trojaner Coreflood: Wandert selbstständig durchs Netzwerk

**gullinews** · 02. 07. 2008, 17:11

Den Köpfen hinter dem Coreflood Trojaner ist es gelungen, ihr Tool äußert effektiv zu gestalten. Zwar muss eine gehörige Portion Geduld beim Einsatz des Schadcodes mitgebracht werden, aber das Ergebnis kann sich sehen lassen. Besonders auf die Zugangsdaten von Onlinebanking-Konten hat es der Schädling abgesehen. Insgesamt konnten die Entwickler knapp 400.000 Rechner mit ihren Produkten infizieren. Ein Trend, der sicherlich auch in Zukunft nicht abreißen und vermutlich noch weitere sechs Jahren herumspuken wird.

Auf das stolze Ergebnis von mehreren hunderttausend infizierten Rechnern können die Entwickler zurückblicken. Alleine 14.000 Computer einer Hotelkette befinden sich in den Fängen von Coreflood und seinen Hintermännern. Hat er sich erst einmal auf einem System eingenistet, kann es allerdings eine Weile dauern, bis er wirklich in vollem Umfang zu Wüten beginnt. Dazu ist das Eingreifen des Systemadministrators erforderlich. Meldet sich dieser an einem befallenen Rechner an, steht Coreflood bereits in den Startlöchern und wartet nur darauf bis ein bestimmtes Administrations-Tool ausgeführt wird.

weiterlesen

**doooofie** · 02. 07. 2008, 19:13

Hallo, kann man denn bei solchen Programmen nicht schauen wohin die gestohlenen Informationen übertragen werden? Irgendwie indem man die Netzwerkaktivitäten des Trojaners verfolgt oder so?...dann könnte man doch diese Server dingfest machen?

Sorry, hab keine Ahnung davon...evtl. ist ja jemand so nett und erklärt mir die Funktionsweise.

**XphX** · 02. 07. 2008, 19:31

Die gestohlenen Infos werden sicher anonym versendet, da kann man keinen großen Server ausfindig machen. Hört sich aber nach einem ziemlich mächtigen Tool an, wie lange treibt sich das denn schon im Netz herum und wie wird man damit infiziert? Das wäre interessant.
Und warum heißen die Leute "Entwickler"? Sollte man sie nicht eher Hacker nennen?

**doooofie** · 02. 07. 2008, 19:50

In einem Windowsnetzwerk etwas anonym verschicken? Da wird doch alles protokolliert? Und falls nicht, für Spezialisten sollte es doch keine so große Sachen sein, herauszufinden wo der Trojaner hintelefoniert.

Könnte evtl. ein User, der sich wirklich auskennt und nicht nur etwas vermutet, mir etwas Klarheit schaffen?

**waebi** · 02. 07. 2008, 20:24

naja, es kann immer mal so nette Zwischenstationen geben, andere gehackte Rechner oder Server...

Und PsExex ist echt nett, man konnte in unserer Domain als normaler User alles Mögliche

**root_enzersberg** · 02. 07. 2008, 22:07

Zitat von doooofie

In einem Windowsnetzwerk etwas anonym verschicken? Da wird doch alles protokolliert? Und falls nicht, für Spezialisten sollte es doch keine so große Sachen sein, herauszufinden wo der Trojaner hintelefoniert.

wenn das ganze so einfach wäre, dann wär das problem schon längst gelöst ;-)

**Hirnblaehung** · 02. 07. 2008, 22:45

Zitat von root_enzersberg

wenn das ganze so einfach wäre, dann wär das problem schon längst gelöst ;-)

Gibt immer neue Dinger im Netz ... ist man mit dem einen fertig treibt der nächste sein unwessen -.-

da wird man nie fertig ^^

Das einzige was hilft is stecker ziehen

mFg

**Sleepy_Bo** · 02. 07. 2008, 23:21

Gängige Praxis ist es beispielsweise die infizierten Rechner mit einem öffentlichen IRC-Server zu verbinden. Der IRC-Server gehört irgendeinem Chatprovider und die wollen sicher nicht, dass ihre Server abgeschaltet werden, weil irgendwelche Spinner dort ihre Datensammelwut und ihre Betrugsnummern abziehen ;-)

**Hatons** · 02. 07. 2008, 23:27

Bei den neueren Mainboards kann man doch mit Software auf die Lüfter zugreifen ?
Wenn das bald "hip" bei den Scriptkiddys wird wirds lustig !

Hat zwar nichts mit dem Thema aber egal ^^

**Theo-Koll** · 03. 07. 2008, 01:09

Ich wäre auch gerne so ein cooler Hacker. Dann würde ich einen Haufen Kohle machen und mich auf die Bahamas absetzen.

**Automatikk78** · 03. 07. 2008, 03:11

Guten Tag!

Kann mir einer weiter helfen bitte unzwar wurde mein password gehackt in MSN will ihn wieder zurück haben da sind sehr wichtige sachen drinn z.b. über www.ebay.de und für Online die ich geld bezahle die sind mir sehr wichtig einer hat mir gesagt ich kann des auch mit ''Trojaner'' machen aber er hats mir nicht eklärt wie ich des ERSTELLEN soll oder sonst was würde mich freuen wenn ihr mein msn adresse addet neue oder könnt hier rein schreiben wie ich des machen

MSN: sexy-stylzz@hotmail.com

Vielen dank!

**MSX** · 03. 07. 2008, 03:29

Zitat von Hatons

Bei den neueren Mainboards kann man doch mit Software auf die Lüfter zugreifen ?
Wenn das bald "hip" bei den Scriptkiddys wird wirds lustig !

Halt bloß die Klappe, sonst bekommt dieser Klassiker doch noch irgendwann wahre Züge.

Ja, das war ein wenig OffTopic. Aber gar nicht mal soo sehr.

**Novo** · 03. 07. 2008, 21:10

also ich find den trojaner geil
wo bekommt man den bloss her (Das hauprprogramm, nicht die server.exe^^)

**ausgechillt** · 03. 07. 2008, 21:27

Zitat von Automatikk78

Guten Tag!

... unzwar wurde mein password gehackt in MSN will ihn wieder zurück haben ...

MSN: sexy-stylzz@hotmail.com

Vielen dank!

du bist süß,
msn futsch bitte helft mir und dann dein msn kontakt aufgeschrieben
du bist so süß

**min2max** · 04. 07. 2008, 14:58

Beängstigend...

helfen Antivirus-Programme oder Spybot gegen sowas?

**PerfectPrivacy** · 06. 07. 2008, 21:00

Zitat von min2max

helfen Antivirus-Programme oder Spybot gegen sowas?

Ja, sofern der Trojaner bekannt ist.

Analyse von SecureWorks

Thema zu Coreflood im Sysinternals Forum

Mit freundlichem Gruß
Patrick
Perfect Privacy Administration

**SubData** · 08. 07. 2008, 07:19

Zitat von ausgechillt

du bist süß,
msn futsch bitte helft mir und dann dein msn kontakt aufgeschrieben
du bist so süß

Er möchte, dass du diesen MSN Kontakt hackst und ihm dann das Passwort gibst...

**p34c3m4n** · 08. 07. 2008, 13:41

Zitat von XphX

wie wird man damit infiziert?

Der Trojaner "versteckt" sich im Netz und wenn man dann die spezielle Seite aufruft oder auch den Link anklickt (hat meistens was mit pornografischen Inhalten zu tun), nistet sich der Trojaner in den Computer ein. Das ist vergleichbar mit einem Download, nur das man in diesem Fall nichts davon mitkriegt. Das man einen Virus bzw. einen Trojaner auf dem Rechner hat, bemerkt man z.B. an den häufigen Abstürzen, den fehlerhaften Seitenanzeigen usw.

Ich habe gehört, dass man dem Problem im Vorfeld entgegenwirken kann, indem man sich einen anderen Browser zulegt, (wie z.B Firefox) anstatt dem InternetExplorer, eine 100%ige Sicherheit hat man allerdings nie.

**snagon** · 12. 07. 2008, 11:23

Zitat von doooofie

Hallo, kann man denn bei solchen Programmen nicht schauen wohin die gestohlenen Informationen übertragen werden? Irgendwie indem man die Netzwerkaktivitäten des Trojaners verfolgt oder so?...dann könnte man doch diese Server dingfest machen?

Sorry, hab keine Ahnung davon...evtl. ist ja jemand so nett und erklärt mir die Funktionsweise.

eigentlich sollte das gehen aber ich glaube nciht das das die entwickler übersehen haben die haben wahrscheinlich alles in den hintergrund gerrückt so das es unmöglich ist das zu sehen oder einen proxyserver dazwischen gestellt

**snagon** · 12. 07. 2008, 11:27

Zitat von Theo-Koll

Ich wäre auch gerne so ein cooler Hacker. Dann würde ich einen Haufen Kohle machen und mich auf die Bahamas absetzen.

danke das ist ja ganz einfach! als hacker verdient man selten mehr als ein m^normaler angestellter auser man zieht das richtig grosse los doch dann wird man meistens festgenommen.