Automatische pogingen inloggen via Remote Desktop: Trojan?

Sinds enige tijd staan in het logboek van mijn PC met Remote Desktop ingeschakeld (op een andere poort) meldingen als:

Type gebeurtenis: Controleren op mislukte pogingen
Bron van gebeurtenis: Security
Categorie van gebeurtenis: Aanmelden/afmelden
Gebeurtenis-ID: 529
Datum: 19-1-2007
Tijd: 19:00:00
Gebruiker: NT AUTHORITY\SYSTEM
Computer: Mycomputer
Beschrijving:
Aanmeldingsfout:
Reden: Onbekende gebruikersnaam of onjuist wachtwoord
Gebruikersnaam: Myuser
Domein: CP111xxx-A
Aanmeldingstype: 4
Aanmeldingsproces: Advapi
Verificatiepakket: Negotiate
Werkstationnaam: PC05


Deze gebeuren bijna altijd (maar niet uitsluitend) exact om 19:00 (vaak zelfs 19:00:00), en altijd vanuit hetzelfde @home adres (de computernaam van waaruit dit gebeurt staat bij "Domein"). Die PC is van een bekende van mij; het is mogelijk dat een Trojan dit doet met de informatie die in Remote Desktop Client blijft staan nadat je een keer ingelogd bent geweest. Inderdaad heb ik zijn PC een keer gebruikt om in te loggen op mijn systeem.

Nu heb ik laatst al willen uitzoeken hoe je deze informatie (eenvoudig) kunt wissen: Remote Desktop client lijst leegmaken maar hier is nog geen reactie op gekomen. Wat ik eigenlijk wil is dat dit mogelijk is zonder een programma zoals CCleaner te installeren.

Een andere vraag is hoe ik erachter kan komen welke wachtwoorden gebruikt worden; het kan natuurlijk een dictionary-attack zijn of iets dergelijks. Is er een mogelijkheid om te loggen welke (foutieve) wachtwoorden zijn ingevoerd?

(Ik heb overigens de eigenaar van de PC al op de hoogte gesteld en hem geadviseerd om naast zijn Avast Antivirus nog eens met een online virusscan zoals Trendmicro Housecall te scannen.)

Van een Google search word ik niet veel wijzer: http://www.google.co.uk/s...op+logging+attempts&meta=

[ Voor 4% gewijzigd door pinockio op 19-01-2007 22:56 ]

Sja... Dat zou handig zijn, als ik a. een firewall had die een dergelijke optie had en b. deze restrictie ook echt wilde aanbrengen. Het is namelijk te makkelijk om vanuit elke PC die Remote Desktop Client heeft en verbonden is met internet op je eigen systeem te kunnen. Dat blijkt nogal eens als ik moet wachten tijdens het werken aan een PC ergens: in de tussentijd kan ik dan bijv. mijn mails lezen. (Ok, er zijn zat mogelijkheden daarvoor, maar alle andere mogelijkheden zoals internetten vanuit die PC, portscans doen etc. zitten er dan niet in.)

Ik wil dus geen gebruik maken van een firewall. Het is wel opvallend dat dit eigenlijk zo weinig gebeurt (er staat maar 1 computernaam / IP-adres in het logboek) terwijl die poort al zo lang (jaren) openstaat. De oorzaak is waarschijnlijk een combinatie van het gebruik van een alternatieve poort (dus niet 3389) en het feit dat een attack meestal geen zin heeft.

[ Voor 24% gewijzigd door pinockio op 19-01-2007 23:00 ]

Ehhrm... eigenlijk hoort dat antwoord in het andere topic thuis (iets met cross-posting etc.). Het is wel een goede suggestie, maar werkt niet. Er staat geen default.rdp in My documents of op het bureaublad. En ik heb net gezien dat ik de entries zoals MRU1, MRU2 etc. wel met succes kan verwijderen (ik hoef zelfs niet uit te loggen en opnieuw in te loggen, ze zijn meteen weg), maar niet MRU0 - d.w.z. ik kan MRU0 wel compleet weghalen, maar de waarde (bijv. een IP-adres) blijft gewoon staan in RDC (Remote Desktop Client).

De enige manier die ik nu ken om MRU0 (dus de bovenste uit het lijstje) te verwijderen is opnieuw verbinding maken met een andere Remote Desktop / Terminal Services server (je hoeft niet in te loggen). Dan wordt dus alleen de bovenste veranderd. Verwijderen of veranderen van die hele tekenreekswaarde heeft geen effect.

[ Voor 31% gewijzigd door pinockio op 19-01-2007 23:25 ]

Goed zeg, je hebt gelijk. Dacht dat ik "verborgen bestanden weergeven" aan had staan (ik wist dat het een verborgen bestand was) maar het blijkt van niet.
Het definitieve antwoord op het raadsel!

Nu nog: hoe kan ik loggen welke passwords worden geprobeerd...?

Hmmm typisch dat dat hier dan wel te zien is. Waarschijnlijk komt het dan doordat in default.rdp van de zombiepc iets als gebruikersnaam vermeld staat als "\domain\username" en dat domein standaard de computernaam van de client/zombiepc is.

Je zou eigenlijk een soort fake-terminalserver moeten installeren die de wachtwoorden afvangt.

Ik zou willen weten hoe "slim" die trojans zijn. Als ze elke dag één keer proberen in te loggen valt het niet echt op en kunnen ze over een lange periode toch heel wat wachtwoorden testen.
Als voorzorg heb ik gebruikersnaam en wachtwoord maar gewijzigd (in een nog ingewikkelder combinatie).

In mijn geval is RDP al op een andere poort gezet, maar in de registry (en het verborgen default.rdp bestand) van de PC waar ik RDP heb gebruikt om in te loggen op mijn PC is het IP-adres incl. poort bewaard gebleven. De Trojan neemt dat dus over en gebruikt deze gegevens om te proberen in te loggen.