Bugbear Warnung durch Norton Firewall |
||
---|---|---|
#0
| ||
29.11.2003, 09:19
Moderator
Beiträge: 6466 |
||
|
||
29.11.2003, 10:28
...neu hier
Beiträge: 2 |
#17
Also bei E M U L E ist kein Proxy eingetragen und das mit den Socks wo muss ich die eintragen und wie gehe ich da vor?
|
|
|
||
29.11.2003, 13:01
Moderator
Beiträge: 6466 |
||
|
||
07.12.2003, 00:13
...neu hier
Beiträge: 1 |
#19
so jetzt muss ich hier mal meinen senf dazuschmieren
auslöser dieser meldungen ist wie hier schon erwähnt der verbindungsversuch eines progs auf dem lokalen rechner auf einen der bekannten trojanerports...da norten solche verbindungsversuche sofort mit dem entsprechenden trojaner in verbindung bringt schmeisst es diese meist unsinnigen warnungen raus.... verursachendes programm ist in der regel eMule, da es bei den verbindungen zu den einzelnen clients die verbindung über den hauptport(4662 imho) aufbaut und dann auf irgenteinen freien port umlegt um den 4662er für weitere verbindungsanfragen freizuhalten meiner erfahrung nach ist bei emule kein schutz eingebaut der das prog daran hindert solche "verseuchten" Ports zu nutzen... also erst panik schieben wenn man die warnungen bekommt wenn emule aus is... wie sich des mit anderen filesharing progs verhält kann ich leider nich sagen... so long GateOne |
|
|
||
10.12.2003, 17:36
...neu hier
Beiträge: 1 |
#20
Hallo Leute,
habe das gleiche problem wie ihr auch habe auch schon verschiedenes ausprobiert und bis jetzt zu keiner lösung gekommen. ich werde auf jeden fall weiter forschen und wenn ich etwas dagegen finde werde ich mich sicherlich auch melden. ich habe nur einen unterschied zu euch das der norton antivirus in letzter zeit bei vielen probleme verusacht und auch der firewall wie feststellen musste und norton kommt nicht nach mit den vielen anfragen im allgemeinen. bei mir verusacht diese problem sogar zu hohen resurcen verlust das ich manchmal sogar nicht ins internet ohne neustart vom pc rein komme, na was solls ain neuer boot tut immer gut :-) ich denke daher das dieses problem mit norton zu tun hat da es viele kopien von norton im einsatz gibt hat norton etwas dagegen unternommen und jetzt haben sogar die legalen damit probleme die jenigen die norton von früher installiert haben funz (funktioniert) alles normal nur diejenigen die es erst gerade in den letzten tagen neu instaliert haben die werden noch probleme kriegen. also ich such mal weiter gruss taytay |
|
|
||
10.12.2003, 18:12
Moderator
Beiträge: 6466 |
#21
@Taytay1 (und alle nachfolgenden)
Wäre hilfreich, wenn erwähnt wird, ob Filesharing-Programme auf dem betroffenen PC zum Einsatz kommen. Nur Mut ...die meisten sharen ja nur legale Sachen, ne ? Ich habe überprüft, dass z.B Emule tatsächlich dann und wann Verbindungen zum Port 1080 herstellt. In diesem Fall wäre die Meldung von Norton schlichtweg ein Falschmeldung, sofern die Aussage verknüpft mit dem Begriff Bugbear nicht weiters relativiert wird. Die einzigste Lösung wäre dann: Diese Meldungen komplett abzustellen. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
10.12.2003, 20:19
...neu hier
Themenstarter Beiträge: 5 |
#22
Also bei mir gibts keine Probleme mit Norton.
Und ich möchte noch nachtragen, dass zum Zeitpunkt der Meldungen tatsächlich auch Emule lief. Insofern scheint mir das was hier im Thread erörtert wurde doch sehr plausibel zu sein. |
|
|
||
18.12.2003, 02:19
...neu hier
Beiträge: 2 |
#23
Details:ein unberechtigter Zugriffsversuch "BD_BUGBEAR" von Ihrem Rechner
Einfach in die Konfiguration der Intrusion Detection gehn und dor auf erweitert. da kannste dann alle möglichen signaturen hinzufügen. in den anderem bericht stand auch was von "Travelvista... blafasel" die Signatur ist dort auch dabei. danke joshi! war ein guter tipp mit den signturen. die müssen sie aber vor kurzen erst aktualisiert haben. hatte total vergessen da nochmal reinzuschaun;-) sers leute P.S. ich weiß allerdings immer noch nicht ob des nur ein bug von IS oder...? scheint aber so.......... lese grad die englischen treffer bei google durch. da gibts mehr als nur einen treffer, wie auf den deutschen seiten......... http://www.google.de/search?q=BD_BUGBEAR&ie=UTF-8&oe=UTF-8&hl=de&meta= |
|
|
||
18.12.2003, 17:26
...neu hier
Beiträge: 2 |
#24
Hi,
ich nutze NIS 2004 und habe festgestellt, dass es eindeutig am eMule liegt, denn wenn er aus ist verhält sich alles ruhig, da auf meinem System auch nirgends ein Trojaner zu finden ist. Letztlich ist es nur Fehlalarm und die einzigste Möglichkeit ist wirklich nur die Signatur vom BD_BUGBEAR zu den Ausschlüssen hinzu zu fügen um Ruhe zu haben, was aber letzten Endes auch ein Risiko sein könnte, denn die Firewall übergeht dann diese Signaturen. Das Problem tritt bei mir erst seit gestern auf, seit ich den eMule v. 3.0e drauf habe, also ist meines erachtens nach diese Version fehlerhaft. Ich werde natürlich auch noch an der Sache dran bleiben, vielleicht finde ich ja doch noch eine andere und sichere Methode um das zu beheben. |
|
|
||
18.12.2003, 17:53
Moderator
Beiträge: 6466 |
#25
Es ist im Grunde sehr einfach:
Irgend jemand "da draußen" der Ömule verwendet verbbindet sich über einen SocksProxy auf Port 1080. Jetzt lädt dein Rechner eine Datei von diesem "Jemand". Hierfür kontaktiert dein Rechner natürlich diesen Socks und dies geschieht auf Port 1080. Dein Rechner ---Verbindung-----> Proxy:1080 ---Verbindung---> "Jemand" Es ist kein Fehler einer bestimmten Version des Programms (bezogen auf Ömule), sondern ein nachvollzieh- und erklärbarer Ablauf in einem Netzwerk. Freut mich, dass sich das mit NIS soweit geklärt hat. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
23.01.2004, 13:24
...neu hier
Beiträge: 1 |
#26
Hi, bin zum ersten mal hier drin und habe das gleiche Problem, wie oben beschrieben. Allerdings verwende ich Overnet + NAV 2004.
Ich bin etwas ratlos: Sind sich alle einig, dass das Problem kein Problem ist? Hat jemand mehr rausgefunden als oben steht? |
|
|
||
25.02.2004, 15:59
...neu hier
Beiträge: 4 |
#27
Hallo ich bin mal wieder
Auch ich möchte mich mal wieder zu diesem Thema äußern. Also nach längerem abwarten ob sich das mit den "Angriffen" des BUGBEAR ändert muß ich sagen das es nur noch schlimmer geworden ist. Ich habe mal in meinem Protokoll nachgesehen und muß feststellen das ich allein heute(bin seid 4 STD. Online) schon 124 solcher "Angriffe" hatte. Da stimmt doch was nicht. Das zu deaktivieren habe ich mir bislang nicht getraut da man ja immer noch nicht weiß ob eine gefahr besteht. Bitte helft !! THX Greetz |
|
|
||
25.02.2004, 17:54
Moderator
Beiträge: 6466 |
#28
Wie soll da geholfen werden ? Die naheliegendste Erklärung trifft meistens zu, nicht ? Und das ist m Falle von P2P-Programmen, bei denen der User sich
a) über einen Socks-Proxy verbinden kann.... oder b) selbst den Port wählen kann, auf denen ihr P2P-Programm lauscht.... ....obern erklärt. Nochmals: Angenommen ich installiere jetzt den Esel und erkläre ihm per Eintrag in der Konfig, dass er alle Anfragen auf Port 1080 entgegen nehmen soll, so wird sich dein Programm => Port 1080 verbinden müssen um eine erste verbindung herzustellen. Die (unausgereifte) Idee von Symantec ist folgende: Per Signatur in einem der Updates (...das war nach der Bigbear-Story) wird der Firewall erklärt: Wenn ein lokales Programm sich zu einem entferneten Port 1080 verbinden möchte wird diese Warnung ausgespuckt. Im Falle von NIS, sollte dieses eigentlich in der Lage sein, sich mit dem ohnehin integrierten Virenscanner zu verständigen um zu sehen, ob eine Bugbear-Infektion auf dem Rechner vorliegt. Das wäre cool ...tut´s aber nicht. Alles nachvollziehbar ?? Was Du mal machen kannst, um meine theorie zu überprüfen und Dir einen ruhigen schlaf zu gönnen . Unter http://www.sysinternals.com/ntw2k/utilities.shtml TCPView runterladen und darüber in der Spalte "Remote Adress" nachzuprüfen, welches Programm denn sich hier zu dem Remote-Port 1080 verbindet. Poste doch mal bitte eine der Alarmmeldungen. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
01.03.2004, 15:18
...neu hier
Beiträge: 4 |
#29
Also mal die genaue Meldung :
Uhrzeit : 14:44 Datum : 01.03.2004 Zugriffsversuch : BD_BUGBEAR Angreifer : localhost(3887) Risikostufe : Hoch Protokoll : TCP Angegriffene IP :213.XX.XX.XXX Angegr. Anschluss : socks(1080) Dann natürlich der "angriff" meines Computers: Ein Computer mit der IP-Adresse 127.0.0.1 hat Informationen gesendet, die Merkmale eines BD_BUGBEAR-Angriffs aufweisen. |
|
|
||
01.03.2004, 16:20
Moderator
Beiträge: 6466 |
#30
Und was meinst Du selbst ?
Ich finde die Idee von Symantec -so wie ich sie sehe und verstehe- grundlegend gut; allerdings so wie sie da steht ist sie für den Anwender verwirrend, da nicht darüber aufgeklärt wird, dass die Ursache dafür völlig harmlos sein kann. Zitat ...die Merkmale eines BD_BUGBEAR-Angriffs aufweisen.Hier wird das ganze relativiert. Ich vermute, das einzigste Merkmal ist die Verbindung zu einem Port 1080 und hierzu ist zu bemerken, was die Sache ad absurdum führt und mir auch jetzt erst klar wird: Bugbear installiert einen Backdoor auf dem infizierten System (Angegr. Anschluss), welcher auf Port 1080 lauscht. Hier werden die Instruktionen des Angreifers (Dein Rechner, 127.0.0.1) entgegen genommen. Dieser Angriff wird, wenn überhaupt, bewusst und gewollt durchgeführt. Die Firewall warnt Dich hiermit quasi vor Dir selbst, den sie geht davon aus, dass daß Du ein ganz "schlimmer Finger" bist . Unter http://www.bsi.de/av/vb/bugbearb.htm ist Bugbear beschrieben. ----------------------- Anzumerken ist, dass wenn das eigene System bereits kompromitiert ist, es natürlich dazu genutzt werden könnte Angriffe auf andere, entfernete Systeme auszuüben. In diesem Zusammenhang gesehen, sollte man solche Meldungen beachten. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
Und ich denke, dass ich möglicherweise mit meiner Annahme nicht verkehrt liege; aus folgendem Grund.
Schon in älteren Versionen der NPF gab es unsinnige Meldungen wie: "Ihr Rechner wurde von Sub-Seven angegriffen" oder so ähnlich. Wenn man sich überlegt, was wirklich vorgefallen war, so würde es mich überhaupt nicht verwundern, wenn auch in diesem Fall das Symantec-Produkt einfach überreagiert. Es ist ganz der "Stil" von den Norton-Security-Produkten, nach dem Motto: "Spuck viele Alarmmeldungen aus" und der Verbraucher glaubt, dass er ohne das Produkt hilflos "Attacken" und "Bedrohungen" ausgesetzt wäre, was natürlich nicht ganz der Realität entspricht.
Also, nicht warten, bis mal die Lösung erscheint, sondern selbst ein wenig dazu beitragen.
__________
Durchsuchen --> Aussuchen --> Untersuchen