Direkt zum Inhalt | Direkt zur Navigation

Benutzerspezifische Werkzeuge

This Logo Viewlet registered to Business4 Theme
Sie sind hier: Startseite / PC-Service / Ich traf das Grauen an! Oder: Woher kommen die Viagra-eMails?

Ich traf das Grauen an! Oder: Woher kommen die Viagra-eMails?

Eine Geschichte der besonderen Art! Seit 2006 ist der harmlose PC ein Mitglied des weltweit zweitgrößten BOT-Netzes....

[Im Dezember 2009 geschrieben]
Es ist schon einige Wochen her....
Ein PC kommt rein.
Nicht viel Auffälliges. Sogar eines der besten(?) und teuersten AntiVirenprogramme aus Mütterchen Russland ist installiert. Man muß sich also keine Sorgen machen (ich werde meine Meinung später gewaltig ändern müssen). Irgendwas ist komisch. Der PC kann besser, aber er wird nicht besser. Ich räume auf, ich entferne Unnützes aus des Startmechanismen des Rechners (Der "autostart" macht da nur 5% aus!). Und wieder ein Blick in die "Taskliste", hier sind (wirklich alle?) aktiven Prozesse genannt. Mit fällt "starwind" auf. Vorher dachte ich: naja und seufz: wieder ein Bildschirmschoner, der den Bildschirm nicht schont, sondern nur unnützes Zeuchs auf den Monitor zaubert, vielleicht ein paar vollbusige Weibsen? Es kommt aber nichts Vollbrüstiges. Da passiert nichts. Misstrauen regt sich. Mehr noch nicht (neiiin, das ist nicht doppeldeutig gemeint...)
Jetzt wird's ernst! Ich suche und suche. Mir fällt ein Unterverzeichnis auf. Es heisst \Programme\Alcohol 120 . Hm. Schon mal gesehen. Es ist aber nicht in der offiziellen Softwareauflistung (in der Systemsteuerung) zu finden. Doch kein Alcoholtester? Später wird mir der Unsinn bewusst: wie kann ein PC den Alkoholspiegel messen? Egal: PC's können alles! Es gibt sogar ein weiteres Programm in c:\programme: Alcohol 120%. Es soll dazu dienen: "Alcohol 120% is the CD & DVD emulation and recording software allows users to copy a visible and an invisible discs." Hm. komischer Name. Es wird genauer hingeschaut!
c:\programme\Alcohol Soft\Alcohol 120\Alcohol Soft\Alcohol 120\StarWind\Logs . Ups! Da sind ja LOG-Dateien. Die älteste ist von Juni 2006. Für jeden(!) Tag gibt es eine solche LOG-Datei, ich finde 1220 LOG-Dateien...
Die Datei ist sogar lesbar. Und das steht drin:
18:48:57:976 (9ec) Srv: StarWind iSCSI Target v2.6.1 (Build 0x20050401, Win32, Alcohol Edition)
18:48:57:976 (9ec) Srv: Unlimited number of client hosts allowed.
18:48:58:016 (9ec) Srv: Special build (plugins are disabled).
18:48:58:016 (9ec) Srv: Config file: 'StarWind.conf'
18:48:58:547 (9ec) conf: 'LogLevel' = '1'
18:48:58:547 (9ec) conf: 'LogMask' = '0x8fffffff'
18:48:58:547 (9ec) conf: 'Port' = '3260'
18:48:58:547 (9ec) conf: 'Interface' = '0.0.0.0'
18:48:58:547 (9ec) conf: 'DefTargetName' = 'iqn.zzzz-zz.com.rocketdivision.starwind:$(host).$(symid)'
18:48:58:547 (9ec) conf: 'Login' = 'test'
18:48:58:547 (9ec) conf: 'Password' = '##zzzzUYh03PK3k6DJizzzz=='
18:48:58:547 (9ec) conf: 'Echo' = 'no'
18:48:58:547 (9ec) conf: 'MinBufferSize' = '65536'
18:48:58:547 (9ec) conf: 'AlignmentMask' = '0x0000'
18:48:58:547 (9ec) conf: 'MaxPendingRequests' = '64'
18:48:58:547 (9ec) conf: Variable 'LogLevel' is set to '1'.
18:48:58:547 (9ec) conf: Variable 'LogMask' is set to '0x8fffffff'.
18:48:58:547 (9ec) conf: Variable 'Port' is set to '3260'.
18:48:58:547 (9ec) conf: Variable 'Interface' is set to '0.0.0.0'.
18:48:58:547 (9ec) conf: Variable 'DefTargetName' is set to 'iqn.zzzz-zz.com.rocketdivision.starwind:$(host).$(symid)'.
18:48:58:547 (9ec) conf: Variable 'Login' is set to 'test'.
18:48:58:547 (9ec) conf: Variable 'Password' is set to '##zzzzUYh03PK3k6DJizzzz=='.
18:48:58:547 (9ec) conf: Variable 'Echo' is set to 'no'.
18:48:58:547 (9ec) conf: Variable 'MinBufferSize' is set to '65536'.
18:48:58:547 (9ec) conf: Variable 'AlignmentMask' is set to '0x0000'.
18:48:58:547 (9ec) conf: Variable 'MaxPendingRequests' is set to '64'.
18:48:58:547 (9ec) Srv: Refreshing device list (complete)...
18:49:03:133 (9ec) Srv: A new SPTI device '\\.\D:' found.
18:49:03:654 (9ec) Srv: (FREE) Binding to 0.0.0.0:3260 ...
18:49:05:447 (9ec) Srv: Waiting for a connection at port 0.0.0.0:3260 ...
18:49:05:447 (a00) conf: Waiting for a control connection at port 3261 ...
[In einigen Ausdrücken ist etwas von mir ersetzt worden mit "zzzz". An diese www-Adressen soll keiner rangehen! Das ist nichts zum Spielen, Jungs und Mädelz!]

Das sieht doch alles harmlos aus. "iSCSI" das kennt der Spezialist. Aber, warte mal..... Auf dem Kanal :3260 "Binding to 0.0.0.0:3260"") nach draussen, wird auf Befehle gewartet "Waiting for a connection at port 0.0.0.0:3260". Autsch!

Jetzt habe ich endlich denjenigen, der mir die vielen viagra-EMail-Angebote nach Hause auf meinen PC schickt!
Was bedeutet das Ganze? Google hilf!
In Kürze, nach einigen Stunden "googelns" erfahre ich, daß der junge Mann "unschuldig" ist. Sein PC ist Mitglied des weilweit zweitgrößten BOT-Netzes und das seit Juni 2006. Sein PC wird von einem(?) Server ferngesteuert und bekommt somit Befehle. Dieses BOT-Netz soll Milliarden von eMails täglich verschicken! Das sagen die Quellen aus Google.....
Hm. Moment mal?! Hatte der junge Mann nicht eines der teuersten AntiVirenProgramme aus Moskau installiert? Ja, hatte er.... Warum hat der Moskauer nicht reagiert? Ich kann es mir nur so denken. Der junge Man hatte das Programm zyx installiert, die eingebaute Moskauer Firewall meldete sich, gab eine Warnung ab. Der Junge Mann beruhigte die Firewall: "Genosse! Brüderchen! Nicht aufregen. Ich will doch nur das Programm zyx installieren. Du brauchst Dir keine Sorge zu machen. So ist mein Wille und der geschehe!" Die Firewall runzelte wohl die Stirn, legte sich auch Befehl schlafen und träumte was Schönes. Und wenn sie nicht gestorben sind, so bekomme ich viagra-eMails noch heute.
Nun, sie sind gestorben: die Moskauer Mischpoke ist deinstalliert, ersetzt durch das deutsche kostenlose AntiVir. Alcohol und der SternenWind ist entfernt. Der junge Mann geht wieder frisch und fromm ins Internet! Ach, noch was: ihm wurde es gar nicht komisch im Gemüt: er dachte sich nichts Schlimmes: Virus gefunden und alles ist gut!
Najaaaa.... Was ist, wenn ein Genervter sich gehörig geärgert fühlt, die deutschen Advokaten zu Hilfe holt und ihn auf Belästigung oder Schlimmeres, den jungen Mann, verklagt? Dann wirds teuer!

Info: "BOT-Netz"
Das ist ein ferngesteuertes Roboter-Netz: ein Server gibt die Befehle, die Roboter holen sich die Befehle eigenständig von Server ab. Das ist nur eine simple Darstellung. In Wirklichkeit sind die Konstruktionen eines solchen BOT-Netzes viel komplexer.

Was können wir lernen?
1. Aufpassen! Ein bisschen mehr Wachsamkeit. "Der Feind hört mit", hiess es früher! Nun ist der Feind mitunter im PC (Nein: der Bundestrojaner ist damit nicht gemeint ;-)
2. Nicht alles immer installieren, was aus dubiosen Quellen kommt.
3. AntiVirenprogramm und zusätzlich ein Programm gegen Internetschädliche installieren und alles immer aktuell halten.
4. Auffälligkeiten sich merken. Den Fachmann fragen!