Bugbear Warnung durch Norton Firewall |
|
---|---|
04.11.2003, 11:13
...neu hier
Beiträge: 5 |
|
|
|
04.11.2003, 11:45
Moderator
Beiträge: 7805 |
#2
Du kannst ja mal dieses Tool auf deinem Rechner laufen lassen: ftp://ftp1.avp.ch/utils/clrav.com
bwohl wenn NAV dir nicht eine Datei genannt hat, die diese Verbindung hergestellt haben soll, hoert es sich schon irgendwie nach Fehlalarm an. Aber du solltest es schon ausschliessen! __________ MfG Ralf SEO-Spam Hunter |
|
|
04.11.2003, 17:28
...neu hier
Themenstarter Beiträge: 5 |
#3
Erstmal Danke für den Link. Das Tool hat auch nichts gefunden.
Hier mal der Auszug aus dem Firewall Protokoll: Ein unberechtigter Zugriffsversuch "BD_BUGBEAR" von Ihrem Rechner auf 82.64.75.209 wurde erkannt und blockiert. Angreifer: localhost(2961) / 2010 / 4961 <-- 3 Meldungen mit versch. Ports Risikostufe: Hoch Protokoll: TCP Angegriffene IP: 82.64.75.209 Angegr. Anschluss: socks(1080) und das hier: Ein unberechtigter Zugriffsversuch "AltaVista_Traversal" von Ihrem Rechner auf 211.244.69.146 wurde erkannt und blockiert. Angreifer: 217.229.128.48(1239) Risikostufe: Hoch Protokoll: TCP Angegriffene IP: 211.244.69.146 Angegr. Anschluss: 9000 Muss ich mir Sorgen machen? Dieser Beitrag wurde am 04.11.2003 um 17:29 Uhr von collie editiert.
|
|
|
04.11.2003, 17:41
Moderator
Beiträge: 7805 |
#4
Klingt irgendwie komisch und da ich heute schon mal falsch lag, poste mal ein Hijackthis log. Hier herunterladen: http://mjc1.com/mirror/hjt/ entpacken, die Exe starten, scan druecken, dann safe log und den Inhalt des dann "aufpoppenden" Editors bitte hier posten.
__________ MfG Ralf SEO-Spam Hunter |
|
|
04.11.2003, 17:53
...neu hier
Themenstarter Beiträge: 5 |
#5
Ist ja einiges:
Code Logfile of HijackThis v1.97.3 Dieser Beitrag wurde am 04.11.2003 um 17:54 Uhr von collie editiert.
|
|
|
04.11.2003, 18:27
Moderator
Beiträge: 7805 |
#6
Mir faellt so nichts besonderes auf, vieleicht jemand anderem? Hast du MIRC immer an?
__________ MfG Ralf SEO-Spam Hunter |
|
|
04.11.2003, 18:30
...neu hier
Themenstarter Beiträge: 5 |
#7
Zitat raman postete Hmm, naja immer nicht, aber oft. |
|
|
19.11.2003, 20:41
...neu hier
Beiträge: 4 |
#8
Endlich der erste der das Problem auch hat.
Aber Hallo erstmal !! Also bei mir ist das auch der Fall. Habe genau das selbe Problem seid ca. 4 Wochen. ( Collie du bist damit also nicht allein!!) Habe auch XP und Norton antivirus und security 2003 also genau wie collie. Was kann das nur sein?? Was Collie sicher vergessen hat ist das der BD_BUGBEAR an ca 5 verschiedenen Socks angreift. Bitte helft auch mir *schluchz* Habe schon sehr oft ein Backdoor-Sub Seven angriff gehabt aber der BG_Bugbear ist mir neu !! MFG |
|
|
20.11.2003, 08:57
Moderator
Beiträge: 6466 |
#9
Ohje...mir scheint, bei Symantec ist alles ´ne Bedrohung oder Angriff um das Vorhandensein der Software auf dem Rechner zu rechtfertigen. Ist allerdings ne Zwickmühle, wenn das eine Paket keine Infektion findet und das andere scheinbare Zugriffe protokolliert. Wat nu ?
1. Kommt der gemeldete Zuigriff von "außen" und wird dann mit "gefääährlichen" Namen versehen, wie "Backdoor Sub-Seven-Angriff" so ist das einfach irreführender Käse, denn es bedeutet noch lange nicht, dass man diesen Sub-Seven deswegen auf dem System hat. 2. Abgehende Verbindungen vom eigenen Rechner sind etwas genauer zu betrachten. Entscheidend ist hier nicht der lokale Port: Zitat Angreifer: localhost(2961) / 2010 / 4961 <-- 3 Meldungen mit versch. Ports, sondern der Remote-Anschluss Zitat Angegr. Anschluss: socks(1080) Ist die Firewall nicht in der Lage den Prozess zu benennen, der einen Verbindungsversuch macht, muss man sich mit Programmen wie TCP-View weitrhelfen, die geöffneten Programm im Überblick behalten und schauen, ob die Verbindung zu dieser IP gewünscht hergestellt wurde oder nicht. Zusaätzlich kann man an Hand dieser Seiten das eigene System etwas genauer betrachten Beachtung sollte der Punkt "Verbreitung" finden. Netzwerkfähige Malware zielt meist auf einen bestimmten Port ab, um sich zu verbreiten. Anschluss/Port: 36794 Bugbear.A Anschluss/Port: 1080 Bugbear.B __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
22.11.2003, 18:11
...neu hier
Beiträge: 4 |
#10
Nun ja , nur habe ich mitlerweile einige Personen in meinem Bekanntenkreis gefragt und auch die habe diese Art von "Angriffen" in der letzten Zeit vermehrt.
Was heißt vermehrt !! Bis vor zwei Monaten hatte auch von denen niemand eine solche Wahrmeldung. Ist doch schon komisch. Bin jetzt schon seid Tagen im Netz am schauen aber noch beschäftigt sich keiner so wirklich mit dem Thema. MFG |
|
|
22.11.2003, 20:28
Moderator
Beiträge: 6466 |
#11
Ob der Angriff vom eigenen System ausgeht, oder von außen kommt. Man sollte sich darum kümmern.
In ersterem Fall gilt es zu prüfen: Was oder welches Programm/Datei unternimmt einen Verbindungsversuch zu einem entfernten System ? In diesem Fall zu Port 1080 des fremden Systems. Diesen Fall habe ich auch, wenn ich z.B in einem Messenger oder FTP-client einen Socksproxy eintrage und mich dann zu diesem verbinde. Also ein völlig erwünschter und bewusst herbeigeführter Vorgang. 2 Vorschläge: 1.) Mit einem Programm bewusst eine Verbindung zu einem Socks-Proxy aufnehmen. Erfolgt die Warnmeldung á la "Bugbear" bleibt einem wohl nur die Deinstallation und das Amusement . 2) Bei http://www.sysinternals.com/ TCP-VIEW besorgen und im Falle, daß diese Meldung unerwartet auftaucht, mittels dieses Progrmmas versuchen festzustellen, welches Programm/Datei denn eine Verbindung zu dem besagten Port aufnehemn will. Zuvor empfielht es sich, sich mit dem Programm vertraut zu machen. Und: Lokale und Remote-Ports unterscheiden !! An aller erster Stelle steht aber die Gewissheit, daß das System virenfrei ist. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
27.11.2003, 17:35
...neu hier
Beiträge: 2 |
#12
Hi
Habe auch schon seit einer Woche das BD_Bugbear Problem bis zu 50 mal am Tag popt die Warnung auf. Benutze NIS 2004 und bin hinter einem Rooter von Netgear(RP614) Hier die Meldung: Zugriffsversuch: BD_BUGBEAR Angreifer: localhorst(3161) Risikostufe: Hoch Protokoll: TCP. Angegriffene IP: 81.37.17.61 Angegr. Port: socks(1080) Wenn ich dann auf weitere Optionen gehe kommt die Meldung Das die Angreifer IP 127.0.0.1 und das diese im Eigenen Netzwerk läge. Jedoch kommt diese Meldung auch wenn kein anderer PC im Netzwerk läuft. Diese Meldung kommt aber nur wenn ich Emule am laufen habe. Habe sonst wenig Ahnung von so etwas aber ich würde mich über einen guten Ratschlag freuen. |
|
|
28.11.2003, 20:42
...neu hier
Beiträge: 1 |
#13
Hi
jo, mein Nachbar hat XP und Norton Security 2003. Nebenbei Emule laufen, und dann kommt ebenfalls wie bei Euch eine Attacke! Nicht nur der BD-Bugbear sondern manchmal auch was anderes, auch 127.0.0.1 ist dabei. Wir haben schon den SpyBot, Adware 6.0, NAV und alles mögliche laufen lassen, aber da ist nix zu finden! Ich such nochmal fleißig. Wenn ich was finde, poste ich's hier rein. Gruß, Gummipunkt |
|
|
28.11.2003, 21:47
Moderator
Beiträge: 6466 |
#14
@ Larry :
Hast Du in Emule mal überprüft, ob unter "Einstellungen" => "Proxy" ein Server eingtragen ist ? Aussagen wie "127.0.0.1 war dabei" sind nicht hilfreich. Nur die exakte Meldung bringt uns weiter. Nebenbei 127.0.0.1 ist immer das eigene Netz. Das ist niemals außerhalb des eigenen PCs, auch nicht im LAN. 127.0.0.1 ist der lokale Rechner. Noch etwas, was man wissen sollte: Wenn ein Programm wie Emule läuft, baut dieses sehr viele Verbindungen zu Ports anderer Rechner auf. Dabei werden Ports von >1024 bis 65535 angesprochen. Es ist durchaus denkbar, daß Symantec mit den Liveupdates auch der Firewall "Signaturen" verpasst hat, die besagen, daß ein Alarm ausgespuckt werden soll, wenn eine Anwendung vom lokale Rechner sich zu einem anderen System auf einem bestimmten Port verbinden möchte. Ich versuche hier ein paar mögliche Zusammenhänge klar zu machen, ob es sich so verhält, könnt nur ihr überprüfen, indem ihr z.B bewusst eine Verbindung zu einem Socks-Proxy herstellt. Z.B in emule oder Kazaa oder sonstigen Programmen, die in ihren Optionen das Verbinden zu einem Socks ermöglichen. Eine Liste davon findet ihr hier http://www.samair.ru/proxy/socks.htm . Ich bitte auch im Sinne Anderer, die evtl das selbe Problem haben, ausdrücklich um Rückmeldung. Danke. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
28.11.2003, 23:56
...neu hier
Beiträge: 1 |
#15
hallo,
hatte auch folgende meldung unter protokollanzeige von norton internet security 2003 pro : Details:ein unberechtigter Zugriffsversuch "BD_BUGBEAR" von Ihrem Rechner auf ......... wurde erkannt und blockiert. Angreifer: localhost(3723) Risikostufe: hoch Protokoll: TCP Angegriffene IP: ..... Angegr. Anschluss: socks(1080) ich vermute mal ein trojaner von dem Norton noch nix mitbekommen hat .. mich stört der, aber keine ahnung wie ich denn wegmachen soll. habe antivirus bei mir und online durchlaufen lassen, desweiteren security check bei symantec, dann noch adaware6 und noch das antiprogramm gegen den w32bugbear worm.. aber keiner hat was gefunden ... bitte bitte wann gibt es endlich die lösung??? __________ Born with wings of light and a sword of faith, this heavenly incarnation embodies both fury an purity ! |
|
|
Benutze Norton Internet Security 2003 unter Win XP.
Gestern hat die Firewall mir 2 Warnungen ausgespuckt, dass ein Verbindungsversuch von 127.0.0.1 (also ja mein rechner) auf irgendeine IP 80.xx unterbunden wurde. Es stand dabei: "Verbindungsversuch zeigt Merkmale von Bugbear".
Ich hab daraufhin Norton AV c: durchsuchen lassen, aber es wurde nichts gefunden. Was mich auch gewundert hätte, denn mein Antivirus läuft seit Anfang des Jahres ständig und hat mich schon vor so mnachem Virus bewahrt.
Jetzt meine Frage: Könnt ihr Experten damit was anfangen? Hat die Firewall sich evtl. irgendwie vertan? Denn ein Bugbear auf meinem Rechner fände ich nicht so toll.