ICQ = undichte Stelle?

**mittelmotz** · 04.03.2008, 12:57

Das ganze sollte so aussehen

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status PID
TCP DeinRechnerName:PORT EntfernterDienst:PORT S. der Verb. ProzessID
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ADVAPI32.dll
[svchost.exe]

Und dann stehen da die beteiligen Resourcen... Dienst und dll's so schwer ist das nicht.

**Tommy1982** · 04.03.2008, 19:06

ich kann mit dem was mir angezeigt wird, überhauot nichts anfangen

das einzige was mir auffällt ist, dass einige unbekannte komponenten dabei sind!

N3ckBr34k4 · 04.03.2008, 19:21

mach doch mit der "druck"-taste einen screenshot, mach paint auf und füg das bild mit strg+v ein, speichers ab und lads hier hoch. dann kann man dir auch weiterhelfen wenn du nix mit den zahlen anfangen kannst. dazu müsst man dann aber auch wissen wie der "gefährliche" port momentan lautet.

**stampfer** · 04.03.2008, 23:32

Zitat von Tommy1982

kein plan ob die offen sind?! wie kann ich das erkennen? hab zumindst mal ne firewall etc.
wo verdammt nochmal ist der stampfer wenn man ihn mal braucht?

Meiner Meinung nach ist es lange nicht so einfach Icq "auszuspionieren" wie es Klotz andeutete.. Das würde nur über packetsniffing funktionieren. Das widerrum würde aber die temporäre ip des Nutzers erfodern.. und selbst dann wäre es kein Einfaches daraus den Klartext auszulesen. Ich habs noch nie probiert.. aber eine solche Lücke ist mir aus keinem der "Securityforen" bekannt in denen ich rumlese.
Die Dateien die es gibt die suggerieren einfach Icq auspionieren zu können sind meiner Meinung nach einfach nur irgendwelche Trojanserver. In 99% der Fälle geht nicht mal irgendein Fenster beim Öffnen der Datei auf, mache machen sich evtl noch die Mühe eine Oberfläche aufgehen zu lassen die dann natürlich nichts anderes macht als davon abzulenken das im Hintergund gerade ne backdoor registriert wurde.

Der Hauptkritikpunkt von ICQ besteht mmn in deren AGB und den sich daraus für sie ergebenden Möglichkeiten Gespräche auszuwerten. Was die meisten Leute aber vergessen wenn sie zu Alternativprodukten wechseln ist, dass viele der Konkurenzprodukte ebenfalls über die ICQ Server laufen.

Anfang letzten Jahrens gab es mal einen private Exploit mit dem man direkten Zugriff auf das Sys bekam.. hab ihn nie zu Gesicht bekommen, aber so weit ich weiß wurde diese Lücke ziemlich schnell geschlossen. Wenn du also eine relativ neue Version hast kann man diese Option ausschliessen. Abgesehen davon würde es eine Firewall meistens merken wenn ein Script auf einen oder mehrere Ports ausgeführt wird.

Wenn bei Hijackthis wirklich eine Bedrohung angezeigt wird würde ich davon ausgehen dass du einen Wurm/Trojaner hast der sich in den ICQ Prozess injected. Ich würde erstmal das sys auf rootkits abklopfen, scans durchführen und den dazugehörigen regeintrag löschen. Das hat aber nichts mit der Unsicherheit von ICQ zu tun. Hättest du kein ICQ drauf würde das Ding wahrscheinlich msn und danach die Browser injecten.. oder andersrum.

Empfehlen kann ich dir den kompletten log auf dem http://www.trojaner-board.de/ zu posten.. wenn du das Problem einigermasse ngut schilderst wird dir da meist sehr kompetent geholfen. (gell, syntax?

)

**mittelmotz** · 05.03.2008, 11:28

@butterbutter aka stampfer dem ist nichts hinzuzufügen, sehe ich auch so.

Wenn du eine Sicherheitslücke meinst zu endecken kommt man schwerlich ohne die ganzen Zahlen aus. Ausser Firewall gibts auch noch die Möglichkeit der Intrusion Detection, ich weiss aber nicht was es da für tolle Windows Produkte gibt, ist eh' bei den meisten Firewalls dabei. Vielleicht gibts ja auch sowas, um den Netzwerkverkehr zu überwachen. Ansonsten mach den Port doch einfach zu und schaue was passiert....

**Tommy1982** · 05.03.2008, 17:10

seit ich icq deinstalliert habe, zeigt mir hijack auch nix mehr rot markiertes an bei den ports.
ich habe zusätzlich einige rot markierte activeX elemente gelöscht! (alle von icq

)

**mittelmotz** · 05.03.2008, 17:18

Und was ist mit Trillian ... oder Gaim (Miranda )...? Dann nimm doch die...

**Tommy1982** · 05.03.2008, 19:45

Zitat von mittelmotz

Und was ist mit Trillian ... oder Gaim (Miranda )...? Dann nimm doch die...

hab doch schon geschrieben, dass ich auf miranda umgestiegen bin!

habe zwei rootkitscanner, beide haben nix gefunden.

**stampfer** · 05.03.2008, 21:03

Zitat von Tommy1982

seit ich icq deinstalliert habe, zeigt mir hijack auch nix mehr rot markiertes an bei den ports. ich habe zusätzlich einige rot markierte activeX elemente gelöscht!

Dann denke ich mal dass der Scanner den du genutzt hast einfach nur das Modul das die Werbung nachgeladen hat als Spyware klassifiziert hat. Probier doch mal ICQ nochmal zu installieren, zieh dir den Banner Remover von http://www.icq-tools.de/?s=tools und schau ob das Problem immer noch besteht. Eine wirkliche Infektion kann denke ich damit ausgeschlossen werden.