| |
 |
| Was steckt hinter Winsize 55808? |
|
|
Veröffentlicht durch XTaran am Montag 23. Juni, 20:23
Aus der Trojaner-oder-kein-Trojaner Abteilung
|
|
|
|
|
Seit Mitte Juni gibt es die recht ratlose Diskussion auf der Incidents-Mailingliste, welcher Virus, Wurm, TRojaner oder sonstwas da auf Windows- und Linux-Kisten sein Unwesen treibt und warum keine davon bisher in die Finger bekam, geschweige denn keiner eine echte Source-IP ausfindig machen konnte. Denn dieses Programm versandte mit gefakten Absender-IPs SYN- und RST-Pakete an alle möglichen Adressen. Einzige Gemeinsamkeit der Pakete: Winsize 55808. Am Freitag schrieb dann auch Heise was über die erste Ratlosigkeit, obwohl sie sonst eigentlich immer erst gerne die Ergebnisse abwarten. Gestern spätabend kam dann die Erlösung auf BugTraq (an)... (Quelle: Slashdot)
|
|
|
|
|
|
|
David J. Meltzer von Intrusec hat ein Exemplar erwischt, welches aber bereits ein Nachahmer zu sein scheint und nicht das Programm, daß mit diesem Traffic angefangen hat. Dazu hat jemand einen bekannten Trojaner genommen und ihm die bis dato geposteten Characteristica verpaßt. Bei dem Programm handelt es sich um einen gut versteckten, verteilten Port-Scanner. Da er mit gefälschten Absender-Adressen arbeitet, baut er darauf auf, daß er irgendwann mal zufälligerweise in dem Netz, in dem er sich befindet, die Antwort auf solch ein Paket zu sehen bekommt, den er schaltet die Netzwerkkarte in den "promiscuous mode". Auf ein System kommt der Trojaner aber nur manuell oder durch ein vom Trojaner unabhängiges Root-Kit. Auch die ISS X-Force scheint nur diese Variante erwischt zu haben, zitiert eWeek Meltzer. Und auch auf Incidents werden Zweifel wach. Sprich: The truth is still out there. ;-)
Weitere Artikel zu dem Thema: ZDNet USA, The Register.
Und wie uns ein Heise-Leser weißmachen wollte, ist 5+5+8+0+8 = 23, denn "eine gute Verschwörungstheorie ist wichtiger als korrektes Addieren".
|
|
|
|
< Schweizer Blendercommunity | Druckausgabe | G5 definitiv 64-bit > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
|
Ok kurz mal offtopic: gibts nicht nen Verschwörungstheorieengenerator, den man mit einfach ein paar Zahlen oder Buchstaben zum Thema füttern kann. Mir ist das mit der falschen Addition nämlich selbst schon mal fast passiert. Zum Glück hatte ich nochmal alles genau nachgerechnet bevor ichs so veröffentlicht habe :-)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Es gibt übrigens den "evil finder". Gib ihm ein wort und er beweist dir, dass es böse ist.
Hier ist ein beweis, dass "Winsize 55808" evil ist.
Falls er euch nicht überzeugt, könnt ihr mit einen besseren erzeugen.
gruss gaudenz
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 24. June, 11:13 MES (#6)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
tja, ich bin der Meinung irgendwann wird das Internet mal von irgendwem lahmgelegt werden. es ist möglich.
nur, der Mensch ist ein so bequemes Individum, der merkst dann schon wenns zu spät ist.
was für Auswirkungen hätte es wenn Weltweit kein tcp/udp/ip mehr funktionieren würde? ich wage gar nicht darüber nachzudenken...
-------------------
Tontaube
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
meiner Einschaetzung nach gar nicht mal sooo viel.
Ja, sicher. Das Internet der Normalsterblichen waere wohl ein paar Stunden, maximal Tage lahmgelegt. Manche kleinen Internetfirmen wuerden wohl aufgrund es hohen Traffics in den Ruin getrieben.
Aber abgesehen davon sehe ich eigentlich keine grossen Probleme.
Banken, Vesicherung und andere vernunftbegabte Grossfirmen schiessen ihre Daten nicht ueber das Internet, sondern ueber eigene Netzwerke. Das Netzwerk meines Arbeitgebers erstreckt sich meines Wissens nach zumindest ueber saemtliche Standorte in .de (Muenchen, Nuernberg, Augsburg, Paderborn, etc.) und nach Wien. Ich waere nicht ueberrascht, wenn es auch noch weiter reichen wuerde. Und keine einzige Leitung ist dirket mit dem Internet verbunden (was natuerlich keine Sicherheit bedeutet :)
<obligatory RIAA plug>
und die RIAA wuerde wohl behaupten, dass der gesamte Traffic von P2P-Netzwerken stammte :)
</obligatory RIAA plug>
|
|
|
|
|
|
|
|
|
|
|
|
|
Meiner Einschätzung nach erschreckend viel. Das haben wir beim SQL Slammer zur genüge gehört (ATMs in Amerika die ausgestiegen sind und dergleichen). Immer mehr Firmen verlagern ihre Links aufs public Internet - was ich echt zum jammern finde. Viel "wichtiges" läuft auch via eMail, IM und dergleichen, das alles müsste dann wieder über Telefon/Fax/Post gehen, was auch erhebliche Schwierigkeiten mit sich bringt. Der Tag wird kommen.
--
There are only 10 types of people in the world: those who understand binary, and those who don't.
|
|
|
|
|
|
|
