poort 445 open..., is dat schadelijk?

marian · 18 mei 2003, 10:06:58

Poort 445 staat open is dat een probleem $:-\$ de rest is dicht

Edit Han : Topictitel verduidelijkt

Zandman · 18 mei 2003, 11:23:36

Hoe ben je hier achter gekomen marian dat die poort open staat
Scan de computer eens bij housecall om er zeker van te zijn dat hij niet open gehouden wordt door een virus of een trojan

Han · 18 mei 2003, 13:10:05

Poort 445 staat standaard open op Win2000 en/of XP systemen als je de optie "bestanden delen" hebt geactiveerd.
Dat poort 445 open staat kan er ook op duiden dat je dit virus (W32.Deloder.worm) op je PC hebt. Eerst idd maar es scannen met Housecall dus. Volgens symantec wordt deze worm al met virusdefinities van 8 maart 2003 onschadelijk gemaakt.

Naam : W32.Deloder.worm
Type : Trojan
Besturing : Microsoft Windows
Risico : Medium
Aliassen : Win32.Worm.Deloder.a - W32/Deloder.worm - WORM_DELODER.A

Eigenschappen
Indien Deloder erin slaagt via poort 445 toegang te krijgen tot het getroffen systeem zal het een tweetal bestanden op uw systeem plaatsen.
Het legt connectie door zich aan te melden als "administrator/beheerder" en kent vastgecodeerde wachtwoorden waarmee het probeert in te loggen.

Indien dit slaagt kan de cracker/virusschrijver inloggen op het systeem en bepaalde acties uitvoeren. Denk hierbij aan het openen van bestanden, verwijderen van bestanden, het bekijken van documenten e.a.

Preventie maatregelen
* Blokkeer preventief het gebruik van poort 445 door de keuze "bestanden delen" uit te schakelen, als je geen lokaal netwerk draait.
* Blokkeer preventief het gebruik van poort 445 in uw firewall(software).

Herkenning van besmetting:

Bestanden
Aanwezigheid van onderstaande bestanden op uw systeem:
- Dvldr32.exe (745984 bytes groot)
- Inst.exe (684562 bytes groot)
- cygwin1.dll (944968 bytes groot) in Windows\System directory (standaard C:\Windows\System)
- rundll32.exe (29336 bytes groot) wordt standaard "verborgen" geplaatst in de "fonts" directory van windows (standaard C:\Windows\Fonts )

** Al deze bestanden hebben als wijzigings-datum de datum van infectie.

Registry
Waarde van de sleutel :
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Wordt aangepast naar: Messenger Dvldr32.exe

Overige
Een verwijzing naar de trojan component wordt aangebracht in het start-menu van Windows.

Locatie hiervan kan zijn:
WINNT\All Users\Start Menu\Programs\Startup\
WINDOWS\Start Menu\Programs\Startup\
Settings\All Users\Start Menu\Programs\Startup\

marian · 19 mei 2003, 21:24:29

Inderdaad via housecall gescand en gelukkig geen virussen
Maar hoe/waar kan ik zien of ik bestanden deel volgens deel ik nx

Han · 19 mei 2003, 21:44:45

Dat doe je zo :

- Ga naar je bureaublad
- Klik met je rechtermuisknop op icon "Netwerk" en vraag de eigenschappen op.
- Klik met je rechtermuisknop op je inbelverbinding en vraag de eigenschappen op.
- Klik op het tabblad "Netwerk"
- Zorg ervoor dat er géén vinkje staat bij "Bestands en printerdeling voor Microsoft Netwerken"

- Staat daar wél een vinkje, haal dat dan weg, en klik op OK

marian · 19 mei 2003, 21:50:17

Daar staat geen vinkje voor alleen bij de bovenste 2 dus dat zit wel goed

Han · 19 mei 2003, 22:40:45

Citaat van: Zandman op 18 mei 2003, 11:23:36Hoe ben je hier achter gekomen marian dat die poort open staat

Geef es antwoord op de vraag van zandman

marian · 19 mei 2003, 22:44:56

Kon bij planet laten testen of er poorten open stonden en vandaar kwam er poort 445 staat open $:-\$

Han · 19 mei 2003, 23:40:24

Heb je firewall-software draaien?

Kijk daarin eens of er "rare programma's" toegang hebben tot internet.

marian · 21 mei 2003, 22:25:54

Moet eerlijk bekennen dat ik geen Fire-wall meer heb draaien,met zone-alarm veel problemen gehad omdat ik niet wist wie ik wel en niet toe kon laten
En de firewall van Norton krijg ik niet meer geinstalleerd $:-\$

Han · 21 mei 2003, 22:36:35

Tja, dan houd het op hé. Staat dan w.s. wel meer open

Doe es een test op grc.com om te kijken of het een beetje dicht zit.
Op die pagina wat omlaag scrollen. Je start de testen door op de rode knoppen te klikken.
Doe eerst "Test my shields" en daarna "Probe my ports".
Ideale situatie die je eigenlijk alleen met een firewall kunt bereiken is "Stealth"(There is no evidence whatsoever that a port (or even any computer) exists at this IP address!). Dan bestaat je computer niet voor andere computers op internet.
Zonder firewall is de meest ideale situatie "Closed".

marian · 21 mei 2003, 23:08:39

Ojee nu durf ik het internet niet meer op

poort 135 rpc
poort445 msft ds en poort 5000 upnp staan open maar nu met dat steenkolen engels van mij

begrijp ik dat er een agent kan worden gedownload

Zandman · 21 mei 2003, 23:29:35

Misschien toch maar weer zonealarm erop zetten marian dan weet je tenminste zeker dat je computer onzichtbaar is voor anderen op het internet

Dat tooltje kan je vanaf de site downloaden das voor die 5000 port upnp is ongeveer 30 kb groot is een exe dus dubbelklikken en op replace klikken en dan staat dat ook dicht.
Maar het is alleen echt dicht in combinatie met een firewall

Han · 22 mei 2003, 03:09:47

Als je zonealarm niet meer wilt draaien, zet dan in ieder geval de interne firewall van WinXP aan.
Beter iets als niets.

Dat aanzetten van de Internet Connection Firewall (ICF) doe je zo:
- Ga naar je Configuratiescherm
- Dan dubbelklikken op Netwerkverbindingen.
- Selecteer de inbelverbinding waarop je de Firewall wilt aanzetten.
- Klik met je rechtermuisknop erop en klik op eigenschappen.
- Ga naar het tabblad Geavanceerd.
- Daar kan je het vakje aanvinken bij :"Mijn computer en netwerk beveiligen door
het beperken of verhinderen van de toegang vanaf het Internet".
- Dan uiteraard nog even op "OK" klikken en hij staat aan.

Dan daarna dat XPDite tooltje nog even hiervandaan downloaden, om je poort 5000 dicht te gooien. Even installeren zoals zandman hierboven beschreef en dan moet het alweer een stukkie beter zijn.

De XP firewall sluit waarschiojnlijk "poort 135" en misschien ook "poort 445" wel af.

Josette · 22 mei 2003, 05:43:50

Hallo,

bij mij stond dat 2 de vinkje er wel.

Wat betekent het eigenlijk?
Heb het nu verwijdert.

Josette

Han · 22 mei 2003, 12:19:26

Als je een vinkje hebt staan bij "bestands en printerdeling voor MS netwerken" dan betekent dat dat er op jou computer de mogelijkheid is om bestanden en printers te delen met windows computers. Als dat aanstaat op je internetverinding dan staat poort 445 open om bestanden en printers te kunnen delen met windows-computers op het internet. Da's niet de bedoeling.

Door poort 445 dicht te houden op je internet verbinding voorkom je narigheid. Lees maar es rond op deze linkjes.

Josette · 22 mei 2003, 14:42:31

Fijn Han,

ik heb hem uitgezet.
Weer wat bijgeleerd.

Groetjes,
Josette

Han · 22 mei 2003, 17:18:27

Effies wat aanvullende info :

Poort 5000 waar Marian dat programmaatje even voor moet draaien om hem dicht te zetten, is een beveiligingslek dat al gedicht wordt door het WinXP servicepack (SP1).
Heb je geen SP1 geinstalleerd, dan moet je dat tooltje ff draaien.
Hoeft bij jou niet Josette want jij draait SP1 al

marian · 22 mei 2003, 17:43:18

De Firewall van XP aangevinkt en nu staat alles op stealth 8) 8)
Maar hoefde niet dat tooltje te installeren want SP1 had ik al

Han · 22 mei 2003, 23:44:53

Toppie Marian, houwe zo

Dit topic gaat op slot