Bugbear Warnung durch Norton Firewall |
||
---|---|---|
#0
| ||
01.03.2004, 21:54
...neu hier
Beiträge: 2 |
||
|
||
02.03.2004, 02:27
...neu hier
Beiträge: 1 |
#32
Tagchen,
wenn man mal die Beschreibung des "bösen" Wurms durchliest, sollte einem auffallen, dass Der Wurm terminiert folgende Prozesse NMAIN.EXE NISUM.EXE NAVWNT.EXE NAVW32.EXE usw. usw. Wäre man also theoretisch mit diesem Wurm infiziert, so würde Norton schonmal nicht mehr laufen. Ich habe auch dieses Bugbear Problem auch und bei mir läuft Nmain (Norton Atnivirus) noch! Außerdem(ich hab den Thread hier nur schnell überlesen, also sorry falls das schon erwähnt wurde) kann man auch sehr schnell die Registry checken, um sicher zu gehen: 1. Er startet die sog. Autodial-Funktion, indem er in der Registry folgende Änderung macht: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "EnableAutodial"="0000001" Damit wird eine DFÜ-Verbindung immer dann automatisch gewählt, wenn eine Verbindung zum Internet hergestellt werden soll. Wenn auch dieser Eintrag nich vorhanden ist (bei mir z.B. nich), würde ich mir keine Sorgen machen und auf den E m u l e "Bug" baun ... Schöööhööös Euer Tappert |
|
|
||
02.03.2004, 07:55
Moderator
Beiträge: 6466 |
#33
Zitat Die Programmierer dieser Software sollten das Problem lösen, da deren Programme dafür verantwortlich sind. Ich selbst habe keine Möglichkeit im Esel oder der NIS gefunden um das Problem zu beheben.Eine Verbindung zu einem Socksproxy ist in einer Vielzahl von Programmen vorgesehen, angefangen bei Browsern, FTP-Clients, Email-Clients.... man kann den Fehler hier nicht der Software zuschreiben, die sich über einen Socks-Proxy verbindet. Streng genommen liegt auf beiden Seiten kein Fehler vor, es überschneidet lediglich sich der "gewöhnliche Netzwerk-Alltag" mit einer leicht überreagierenden Firewall. Symantec weit im Zusammenhang mit den Signaturen selbst darauf hin, dass dies leicht zu Fehlalarmen führen kann. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
02.04.2004, 13:36
...neu hier
Beiträge: 1 |
#34
Habe selbe Probleme wie oben beschieben und nutze ebenfalls E m u l e. Nach der Installation des Zusatztools MuleMRTG - Multi Router Traffic Grapher und allen anderen Komponenten, habe ich massive DDoS Attacken auf meinen PC!!!
E m u l e v0.42d Norton Personal Firewall 2004 Windows XP Hier ein Auszug aus dem Protokoll der Firewall: 02.04.2004 10:11:22,Der Benutzer hat eine Regel erstellt für Kommunikation "Blockieren".,"Der Benutzer hat eine Regel erstellt für Kommunikation ""Blockieren"". Eingehendes UDP-Paket Lokale Adresse, Dienst ist (FOZZY(192.168.1.6),exec(512)) Remote-Adresse, Dienst ist (210.241.249.78,4672) Prozessname ist ""N/A""" 02.04.2004 10:11:09,Der Benutzer hat eine Regel erstellt für Kommunikation "Blockieren".,"Der Benutzer hat eine Regel erstellt für Kommunikation ""Blockieren"". Eingehendes UDP-Paket Lokale Adresse, Dienst ist (FOZZY(192.168.1.6),exec(512)) Remote-Adresse, Dienst ist (212.179.94.18,4673) Prozessname ist ""N/A""" 02.04.2004 09:47:07,Der Benutzer hat eine Regel erstellt für Kommunikation "Blockieren".,"Der Benutzer hat eine Regel erstellt für Kommunikation ""Blockieren"". Eingehendes UDP-Paket Lokale Adresse, Dienst ist (FOZZY(192.168.1.6),exec(512)) Remote-Adresse, Dienst ist (212.194.69.235,4173) Prozessname ist ""N/A""" 02.04.2004 09:44:46,Der Benutzer hat eine Regel erstellt für Kommunikation "Blockieren".,"Der Benutzer hat eine Regel erstellt für Kommunikation ""Blockieren"". Eingehendes UDP-Paket Lokale Adresse, Dienst ist (FOZZY(192.168.1.6),exec(512)) Remote-Adresse, Dienst ist (81.51.99.34,4673) Prozessname ist ""N/A""" 02.04.2004 09:43:42,Der Benutzer hat eine Regel erstellt für Kommunikation "Blockieren".,"Der Benutzer hat eine Regel erstellt für Kommunikation ""Blockieren"". Eingehendes UDP-Paket Lokale Adresse, Dienst ist (FOZZY(192.168.1.6),exec(512)) Remote-Adresse, Dienst ist (200.245.58.4,8075) Prozessname ist ""N/A""" 02.04.2004 09:43:38,Der Benutzer hat eine Regel erstellt für Kommunikation "Blockieren".,"Der Benutzer hat eine Regel erstellt für Kommunikation ""Blockieren"". Eingehendes UDP-Paket Lokale Adresse, Dienst ist (FOZZY(192.168.1.6),exec(512)) Remote-Adresse, Dienst ist (82.65.146.237,32739) Prozessname ist ""N/A""" 02.04.2004 09:43:34,Der Benutzer hat eine Regel erstellt für Kommunikation "Blockieren".,"Der Benutzer hat eine Regel erstellt für Kommunikation ""Blockieren"". Eingehendes UDP-Paket Lokale Adresse, Dienst ist (FOZZY(192.168.1.6),exec(512)) Remote-Adresse, Dienst ist (213.103.205.191,4672) Prozessname ist ""N/A""" Die Angreifer nutzen u.a. auch Port Adressen wie die von E m u l e genutzten 4672 und versucht meinen lokalen Port 512 zu nutzen um Services zu starten. :-( Nach "Zulassen" einer Regel konnte ich unter NPW-Statistik einen Anstieg von zugelassen Aktivitäten von allen möglichen Backdoor Programmen, wie Back Orifice 2000 und andere festellen! :-( Habe mein System mit allen gängigen Tools gescannt, aber nichts gefunden. |
|
|
||
22.05.2004, 15:08
...neu hier
Beiträge: 1 |
#35
Hi all ich hab auch das bd_bugbear problem. nur das ich nachdem ich die registry mal gecheckt habe eben genau den eintrag
"EnableAutodial"="0000001" gefunden. kann mir einer sagen ob ich den wurm nu drauf hab und wenn ja wie ich ihn wieder runterkrieg? das dos tool am anfang des threads hab ich ausprobiert. das hat nix gefunden. Außerdem(ich hab den Thread hier nur schnell überlesen, also sorry falls das schon erwähnt wurde) kann man auch sehr schnell die Registry checken, um sicher zu gehen: 1. Er startet die sog. Autodial-Funktion, indem er in der Registry folgende Änderung macht: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "EnableAutodial"="0000001" Damit wird eine DFÜ-Verbindung immer dann automatisch gewählt, wenn eine Verbindung zum Internet hergestellt werden soll. Für hilfe wär ich dankbar. antwort bitte an meine e-mail talinor@gmx.de ich dank scho mal im voraus. gruß Thalinor Dieser Beitrag wurde am 22.05.2004 um 15:09 Uhr von Thalinor editiert.
|
|
|
||
22.05.2004, 18:25
Moderator
Beiträge: 6466 |
||
|
||
ich habe meinen Rechner nach allen möglichen gescannt. Beginnend von Dialern über Spyware bis zu Trojanern und Würmern, Viren und was sonst noch da sein könnte. Nix gefunden, warum auch, da mein System sauber ist.
Da ich den Esel seit einiger Zeit nicht mehr benutze, hat mein Rechner natürlich auch aufgehöhrt, diese Sigbaturen zu verwenden und den bewussten Port auszureizen.
Er versucht also per Bugbear-Signatur keine anderen Rechner mehr zu attackieren, da er beim Download über den Esel ja versucht hatte ständig ins WWW rauszurufen um die Netzlast zu senken, was ja nun nicht mehr der Fall ist.
Fazit
Diese Download-Manager wie E m u l e oder eDonkey, sind eindeutig die Ursache für das Problem, da die Firewall ja das ständige wechseln der Ports als Bösartig ansieht.
Die Programmierer dieser Software sollten das Problem lösen, da deren Programme dafür verantwortlich sind. Ich selbst habe keine Möglichkeit im Esel oder der NIS gefunden um das Problem zu beheben.
Es ist immerhin gefährlich diese Signatur in der Firewall auszuklammern, denn es könnte ja sein, dass dann doch plötzlich jemand auf diese Art auf eure Rechner zugreift, also lebt damit, bis die nächsten Updates der bewussten Programme das Problem beheben.
Bis dann