Oder versuchen per Remote-Desktop oder mit VNC auf den Rechner zuzugreifen um dann die Firewall dementsprechend zu konfigurieren, mit einem entsprechenden User.

Sie benutzen Programme, die durch die Firewall dürfen und kommunizieren über diese Programme, oder injizieren sich in diese Programme, so dass die Firewall nicht bemerkt, dass da noch ein anderes Programm eine Verbindung aufbaut. Das funktioniert aber bei neuen Firewalls nicht mehr.

Genau, aktuelle Firewalls merken sich nicht nur die Datei die eine Erlaubnis hat, sondern auch den Hashwert der Datei. Da eine infizierte Datei automatisch auch einen neuen Hashwert bekommt, kommt die Datei ohne erneute Freigabe nicht mehr raus.
Port 80 bringt dir auch nichts, da Softwarefirewalls i.d.R. nicht den gesamtem Port freigeben, sondern diesen halt nur für freigebene Anwendungen.

Wenn bei euch keiner die Zugangsdaten zu den Rechnern weiß, dann knack halt die Windowspasswörter. Dafür gibt es spezielle Linux Boot CDs mit denen Du die Passwörter neu setzen kannst ohne das alte zu kennen.
Du wirst immer wieder in die Verlegenheit kommen, das Du die Admin Rechte benötigst.

Sonst bleiben Dir nur die beiden bereits geannten Möglichkeiten. Firewall per Tastatur / Maussteuerung abschalten ( dürfte aber ohne Admin Rechte nicht gehen ), oder die Brechstange per Task abschiessen. Aber auch hier Vorsicht, die PCWKill.exe wird von einigen Virenscannern als Schadsoftware eingestuft, kann also sein das da jemand Alarm schlägt!

Nein ich mein das anders. Die starten ein Programm, z.B. Internet Explorer (der durch darf) und injizieren sich dann in den IE-Prozess. Also nicht in die Datei, sondern direkt in den Prozess. Da bleibt auch der Hash-Wert der Datei gleich. Die Firewall glaubt dann, der IE will eine Verbindung aufbauen und lässt die Verbindung zu. Ich weiß aber nicht genau wie das geht und wenn, dann würde ich es auch nicht verraten. Sowas darf nicht jeder wissen.

apropos dll injection ...

edit: ich habe da auf seite 2 was nettes gepostet

Cool Vielen Dank für den Link

Sieht sehr vielversprechend aus.... Ich bekomme jedoch beim Starten der im 7z enthaltenen Packet ne Trojaner meldung hmmmm

Da müsste man den Code zuvor noch ein wenig umstellen



Danke trozdem... vieleich komm ich mit injection an der Firewall vorbei

Würde mich schwer wundern, wenn CreateRemoteThread nicht blockiert würde

Neue Firewalls entdecken das funktioniert wahrscheinlich nicht. Ist zudem viel Arbeit alles in eine DLL auszulagern.

War ja auch zu erwarten.

Mit Sicherheit kannst du das.

Z.B.: Hast du dort einen Browser drauf, mit dem du in's Internet kommst? Sende die Daten einfach über diesen. Auch kannst du ja scheinbar eine Remoteverbindung aufbauen. Somit kannst du auch daten über diese verschicken.

Weiterhin könntest du natürlich auch die Deinstallation einfach mal als Administrator starten. Luckie hat hier mal ein Prgm. veröffentlicht um bestimmte Programme mit anderen Rechten zu starten. Das setzt natürlich vorraus, dass du das Passwd kennst.

[quote="Hador"]Wenn er das Passwort kennen würde könnte er ja direkt die Firewall entsprechend konfigurieren.