Steam wurde verändert!! Wird evt Steam Account geklaut?

[64-Bit Monster]

Hallo erstmal gerade als ich ins Internet wollte kam eine Meldung das die Steam.exe verändert wurde und ob ich den Internetzugriff erlauben würde. Habe den zugriff erlaubt nur irgendwie habe ich da bedenken da stand:

Windows Explorer

Steam

Möchte da wer mein Steam evt klauen?

Ps: Wenn ich es aber verweigere dann geht Steam ja net mehr.

Ausgehende Verbindung 207.173.177.11
Ausgehende Verbindung 68.142.88.34
Ausgehende Verbindung 69.28.151.178

[64-Bit Monster]

Hab gerade was gefunden was evt meine Frage gleich beantworten würde.

Auto detecting CPU
Using default binary.
Auto-restarting the server on crash
Console initialized.
Game .dll loaded for "Counter-Strike: Source"
maxplayers set to 12
Network: IP 192.168.1.6, mode MP, dedicated Yes, ports 27015 SV / 27005 CL
Adding master server 207.173.177.11:27011
Adding master server 69.28.151.178:27011

RootForum.de • CS:Source Gameserver

und die 68.142.88.34 scheint auch ne Gameserver von Steam zusein.

Ps: Können die auch andere Ports nehmen als den 27011?

Bist du irgendwie paranoid?

[64-Bit Monster]

Nein nur vorsichtig

Sry wenn das evt Falsch immer rüberkommt aber, mir wollte schon einer den Account klauen nur zur info.
Außerdem wurde ich schon 1-2 mal gehackt ka was die wollten.

Deshalb besser Vorsicht als Nachsicht.

[borsti]

Und die Diagnose hast du wo her?

Mal einen Virus finden bedeutet nicht gleich gehacked worden zu sein...

[Pilzkopf]

Was vllt mal ganz gut wär:
Welche Software hat da angeschlagen?

Für alle die sagen heist nix:
Ich hab selber mal ne Zeit mit Trojanern und co rumgespielt. Das größte Prob ist immer, an Firewalls vorbei zu kommen. Die dabei momentan meistgenutzte Methode ist das FWB+. FWB+ heist, der Trojaner injected seinen Code in einen Prozess, der auf das Internet zugreift. Das ist meist der Stadtdart-Browser (iexplorer.exe oder firefox.exe). Diese Methode ist natürlich auch den Herstellern von Firewallsoftware bekannt, und daher überwachen mittlerweile viele FWs die Prozesse und ob diese verändert werden. Ich werd mal suchen, vllt find ich da was...

MfG, Olli

[64-Bit Monster]

ja ne Meine FW sagte mir das gerade ein Protscan im gange ist. Router usw lassen ja keine programme rein sondern fragen dich ja ob das programm rausfunken soll.


Aber naja solange alles geht ist es ja gut

[Pilzkopf]

Zitat:

Zitat von Hack-Page

Firewall ByPass - Wie funktioniert das?
Hintergedanken und Methoden im Laufe der Zeit

Alles fing damit an, dass der Wunsch entstand, Firewalls umgehen zu können. Also setzten sich diverse Programmierer daran, eine Methode zu entwickeln, wie man an Firewalls vorbeikommt. Schon schnell kam man auf die Idee, man könne ja einfach so tun, als sein man ein Vertrautes Programm. Anfängliche Versuche, einfach die Datei zu ersetzen und danach die Originaldatei zu starten (Server kopiert firefox.exe zu firefox1.exe, kopiert sich zu firefox.exe und startet nach dem Aufruf firefox1.exe), wurden schnell durch CRC32-Checks der Dateien zerstört. Also musste eine andere Methode her, die den CRC32-Check von firefox.exe gleich aussehen ließ und trotzdem uns selbst in firefox.exe verschaffte. Dadurch entstand die erste Serienreife Methode, die DLL-Injection. Sie funktionierte ganz einfach - der "richtige" Server war eine DLL und wurde über LoadLibrary aus firefox.exe aufgerufen. Ein Beispielcode dafür (ASM):

<Source Code entfernt, muss ja nich gleich Public werden xD>

Jedoch blockten Firewalls es schnell, dass über CreateRemoteThread LoadLibraryA aufgerufen wird.
Also haben unsere Programmierer noch etwas mehr nachgedacht und kamen zum nächsten Quantensprung im Firewall-Bypassing, FWB+.
Im Grunde genommen war FWB+ sehr viel einfacher als die alte DLL-Injection, und sie brauchte keine DLL mehr.

<Auch hier war C++ Code>

Schnell widerrum sperrten Firewalls CreateRemoteThread und WriteProcessMemory vollständig, beziehungsweise legten Filter darauf.
Gegen WriteProcessMemory gibt es zwar inzwischen Alternativen, allerdings sind diese oft sehr kompliziert (siehe: GhostWriting @ rootkit.com). Eine simple Alternative ist es, ZwWriteVirtualMemory zum schreiben zu verwenden, da viele Firewalls nur WriteProcessMemory hooken und nicht die zugrundeliegende ZwWriteVirtualMemory-Funktion. Für CreateRemoteThread wurde schnell ersatz gefunden: SetThreadContext.
Damit wird kein neuer Thread erstellt, sondern der "Original-Thread" nur weitergeleitet.

Das Beispiel dafür sieht genau gleich aus wie das vorhergehende, nur müssen wir in der .data Section folgendes hinzufügen:

<Noch mehr Code>

Und der CreateRemoteThread-Aufruf muss ersetzt werden mit:

<Und wieder Code...>

Jedoch auch SetThreadContext wurde bald gehookt. Weil langsam die Mittel ausgingen, ging man dazu über, Userland-Unhooking-Tools (ring3) und Kernel-Unhooking-Tools (ring0) zu schreiben. Diese Sources wären jedoch etwas zu groß für dieses Tutorial, und deshalb schließe ich hiermit.

Ich hoffe, es hat gefallen!

Tutorial (C) by <Sag ich net...>

Genauer werd ich hier nicht werden, ich hab das ganze aus nem Nonpub-Forum, und der Code usw. wird auch erstmal Nonpub bleiben...

MfG, Olli

[64-Bit Monster]

Wie gesagt ich denke aber das beim Router das nicht so einfach geht da er nichts reinläßt sondern eher programme ins Internet läßt.