Analyse einer Backdoor
Moderne Hintertürprogramme verwenden eine ganze Reihe von Techniken, um ihre Aktivitäten zu verbergen und (Personal) Firewalls zu umgehen.
Moderne Hintertürprogramme verwenden eine ganze Reihe von Techniken, um ihre Aktivitäten zu verbergen und (Personal) Firewalls zu umgehen. Jarkko Turkulainen hat in seinem Netz eines entdeckt und detailliert analysiert. Die von ihm Spotcom genannte Backdoor missbraucht den Internet Explorer oder den allgemeinen Host-Prozess svchost.exe für seine Netzwerk-Aktivitäten, indem sie diesem eine spezielle DLL unterschiebt (DLL Injection). Die Kommunikation mit dem Internet findet über den DNS-Port 53 (UDP) statt. Die Funktionen von Spotcom reichen vom Download und Start beliebiger Programme bis hin zu Telnet-Verbindungen, die es auch umgekehrt - also vom Server zu einem Telnet-Client - aufbauen kann, um aus Firewall-geschützten LANs ins Netz zu gelangen. Außerdem überwacht Spotcom Dateisysteme auf Veränderungen.
