Neulich hat meine Firewall gemeldet, das ein Progy Names "mspatchsec.exe" ins Netz will.
Hab keine Ahnung was das fuer´n Progy ist und woher es stammt. Kann auch sonst keine Infos dazu finden...hat jemand ne Idee???
Das Teil ist auch in der Reg im Schluessel Run eingetragen
Also ich hab so 'ne Datei nicht auffer Platte.
Ich auch nicht, lass mal Ad-Aware drueberlaufen...
ich hab das teil auch nicht auf der platte
unter welchem namen stehts denn in der registry?
hmm, nicht mal google findet die datei. ergo: die datei gibts gar nicht
So..hab mal ein wenig getestet...die File wird waehrend der Installation von dem Progy TuneUp Utilities 2004 erstellt
Hier mal meine Firewall Meldung
Module:Firewall
Action
revented
Application:mspatchsec.exe
Access:Outbound TCP access
Object:1123 -> 194.159.164.195 (efnet.demon.co.uk):6667 (ircu)
Time:05.03.2004 18:33:18
Module:Firewall
Action
revented
Application:mspatchsec.exe
Access:Outbound TCP access
Object:1760 -> 130.233.48.242 (efnet.tt.hut.fi):6667 (ircu)
Time:05.03.2004 18:38:22
Also ich kann mir eigentlich nicht vorstellen, dass ein serioeses Programm seine Datei einfach nach irgendwas von MS aussehen laesst.
-Slaine+5. Mar. 2004, 18:40 QUOTE (Slaine 4 5. Mar. 2004, 18:40 ) schrieb:Also ich kann mir eigentlich nicht vorstellen, dass ein serioeses Programm seine Datei einfach nach irgendwas von MS aussehen laesst.
Mich wunderts auch, das dies die Demo ist
Habe TuneUp deinstalliert, File nach .org benannt, neu installiert und schon ist se wieder da...also devynitiv von dem Setup erstellt...
aehm, wenn ich das ding richtig verstehe will sich das prog mit einem IRC channel verbinden (EFnet), das klingt VERDAMMT nach einem trojaner der seinem 'master' bekanntgeben will dass eine hintertuere geoeffnet ist.
ist das tuneup prggy ein serioeses programm, bzw. wo wurde es downgeloadet, koennte es sein dass es von jemandem kompromittiert wurde?
-Azathoth+5. Mar. 2004, 18:43 QUOTE (Azathoth @ 5. Mar. 2004, 18:43 ) schrieb:aehm, wenn ich das ding richtig verstehe will sich das prog mit einem IRC channel verbinden (EFnet), das klingt VERDAMMT nach einem trojaner der seinem 'master' bekanntgeben will dass eine hintertuere geoeffnet ist.
ist das tuneup prggy ein serioeses programm, bzw. wo wurde es downgeloadet, koennte es sein dass es von jemandem kompromittiert wurde?
Yup..gehe der Sache nun auf den Grund
die tuneup utilities sind schon serioes, benutz ich seit jahren. hab die aktuelle version auch drauf, allerdings nicht die datei da oben. wird wohl kein orginales group release gewesen sein
So..hab mal ein wenig getestet, anscheinend wurde da rumgefummelt.
Kann nur empfehlen, das Tools von <a href='http://www.tuneup.de/files/TU2004TrialDE.exe' target='_blank'>http://www.tuneup.de/files/TU2004TrialDE.exe</a>
zu saugen.
Edit:
Die File ist anscheinend ein Trojaner.
Wenn ihr die File
C:�WINNT�system32�mspatchsec.exe
und folgenden Reg-Eintrag in der Registry findet:
[HKEY_LOCAL_MACHINE�SOFTWARE�Microsoft�Windows�CurrentVersion�Run]
"Microsoft Windows Security Patch"="C:��WINNT��system32��mspatchsec.exe"
solltet ihr misstrauisch werden
TuneUp Utilities benutz ich auch schon ewig, sowas hoer ich aber nun zum ersten Mal. Gleich mal nachgeschaut, zum Glueck existiert diese Datei auf meinem Rechner nicht...
Mittlerweile erkenne auch McAfee und Norton Antivirus diesen Trojaner...
Ich muss echt einer der 1. "Glueckspilze" gewesen sein
