Bugbear Warnung durch Norton Firewall

#0
04.11.2003, 11:13
...neu hier

Beiträge: 5
#1 Hallo!

Benutze Norton Internet Security 2003 unter Win XP.
Gestern hat die Firewall mir 2 Warnungen ausgespuckt, dass ein Verbindungsversuch von 127.0.0.1 (also ja mein rechner) auf irgendeine IP 80.xx unterbunden wurde. Es stand dabei: "Verbindungsversuch zeigt Merkmale von Bugbear".

Ich hab daraufhin Norton AV c: durchsuchen lassen, aber es wurde nichts gefunden. Was mich auch gewundert hätte, denn mein Antivirus läuft seit Anfang des Jahres ständig und hat mich schon vor so mnachem Virus bewahrt.

Jetzt meine Frage: Könnt ihr Experten damit was anfangen? Hat die Firewall sich evtl. irgendwie vertan? Denn ein Bugbear auf meinem Rechner fände ich nicht so toll. ;)
Seitenanfang Seitenende
04.11.2003, 11:45
Moderator

Beiträge: 7804
#2 Du kannst ja mal dieses Tool auf deinem Rechner laufen lassen: ftp://ftp1.avp.ch/utils/clrav.com

bwohl wenn NAV dir nicht eine Datei genannt hat, die diese Verbindung hergestellt haben soll, hoert es sich schon irgendwie nach Fehlalarm an. Aber du solltest es schon ausschliessen!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.11.2003, 17:28
...neu hier

Themenstarter

Beiträge: 5
#3 Erstmal Danke für den Link. Das Tool hat auch nichts gefunden.

Hier mal der Auszug aus dem Firewall Protokoll:
Ein unberechtigter Zugriffsversuch "BD_BUGBEAR" von Ihrem Rechner auf 82.64.75.209 wurde erkannt und blockiert.
Angreifer: localhost(2961) / 2010 / 4961 <-- 3 Meldungen mit versch. Ports
Risikostufe: Hoch
Protokoll: TCP
Angegriffene IP: 82.64.75.209
Angegr. Anschluss: socks(1080)

und das hier:
Ein unberechtigter Zugriffsversuch "AltaVista_Traversal" von Ihrem Rechner auf 211.244.69.146 wurde erkannt und blockiert.
Angreifer: 217.229.128.48(1239)
Risikostufe: Hoch
Protokoll: TCP
Angegriffene IP: 211.244.69.146
Angegr. Anschluss: 9000

Muss ich mir Sorgen machen? ;)
Dieser Beitrag wurde am 04.11.2003 um 17:29 Uhr von collie editiert.
Seitenanfang Seitenende
04.11.2003, 17:41
Moderator

Beiträge: 7804
#4 Klingt irgendwie komisch und da ich heute schon mal falsch lag, poste mal ein Hijackthis log. Hier herunterladen: http://mjc1.com/mirror/hjt/ entpacken, die Exe starten, scan druecken, dann safe log und den Inhalt des dann "aufpoppenden" Editors bitte hier posten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.11.2003, 17:53
...neu hier

Themenstarter

Beiträge: 5
#5 Ist ja einiges:

Code

Logfile of HijackThis v1.97.3
Scan saved at 17:49:30, on 04.11.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PGPsdkServ.exe
C:\Programme\mIRC\mirc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Opera7\opera.exe
C:\WINDOWS\explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\Panicware\Pop-Up Stopper Companion\CCHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Programme\Panicware\Pop-Up Stopper Companion\popupus.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Caledos - Automatic Wallpaper Changer.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download A&ll by ReGet Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download All by FlashGet - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download by Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Download using FlashGet - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {28F00B0F-DC4E-11D3-ABEC-005004A44EEB} (Register Class) - http://content.hiwirenetworks.net/inbrowser/cabfiles/2.5.30/Hiwire.cab
O16 - DPF: {407F5185-3B2E-4196-982B-1E258C46F8FD} - ftp://ftp.pt.ea.com/QA/pub/easports/patches/nhl2003/pc/en-us/nhl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A592EF52-8877-4204-89E4-8824B7BEA930}: NameServer = 212.185.248.50 194.25.2.129
Dieser Beitrag wurde am 04.11.2003 um 17:54 Uhr von collie editiert.
Seitenanfang Seitenende
04.11.2003, 18:27
Moderator

Beiträge: 7804
#6 Mir faellt so nichts besonderes auf, vieleicht jemand anderem? Hast du MIRC immer an?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.11.2003, 18:30
...neu hier

Themenstarter

Beiträge: 5
#7

Zitat

raman postete
Mir faellt so nichts besonderes auf, vieleicht jemand anderem? Hast du MIRC immer an?


Hmm, naja immer nicht, aber oft. ;)
Seitenanfang Seitenende
19.11.2003, 20:41
...neu hier

Beiträge: 4
#8 Endlich der erste der das Problem auch hat.
Aber Hallo erstmal !! ;)

Also bei mir ist das auch der Fall.
Habe genau das selbe Problem seid ca. 4 Wochen.
( Collie du bist damit also nicht allein!!)
Habe auch XP und Norton antivirus und security 2003 also genau wie collie.
Was kann das nur sein??
Was Collie sicher vergessen hat ist das der BD_BUGBEAR an ca 5 verschiedenen Socks angreift.
Bitte helft auch mir *schluchz*
Habe schon sehr oft ein Backdoor-Sub Seven angriff gehabt aber der BG_Bugbear ist mir neu !!


MFG
Seitenanfang Seitenende
20.11.2003, 08:57
Moderator
Avatar joschi

Beiträge: 6466
#9 Ohje...mir scheint, bei Symantec ist alles ´ne Bedrohung oder Angriff um das Vorhandensein der Software auf dem Rechner zu rechtfertigen. Ist allerdings ne Zwickmühle, wenn das eine Paket keine Infektion findet und das andere scheinbare Zugriffe protokolliert. Wat nu ?

1. Kommt der gemeldete Zuigriff von "außen" und wird dann mit "gefääährlichen" Namen versehen, wie "Backdoor Sub-Seven-Angriff" so ist das einfach irreführender Käse, denn es bedeutet noch lange nicht, dass man diesen Sub-Seven deswegen auf dem System hat.

2. Abgehende Verbindungen vom eigenen Rechner sind etwas genauer zu betrachten. Entscheidend ist hier nicht der lokale Port:

Zitat

Angreifer: localhost(2961) / 2010 / 4961 <-- 3 Meldungen mit versch. Ports
, sondern der Remote-Anschluss

Zitat

Angegr. Anschluss: socks(1080)

Ist die Firewall nicht in der Lage den Prozess zu benennen, der einen Verbindungsversuch macht, muss man sich mit Programmen wie TCP-View weitrhelfen, die geöffneten Programm im Überblick behalten und schauen, ob die Verbindung zu dieser IP gewünscht hergestellt wurde oder nicht.
Zusaätzlich kann man an Hand dieser Seiten das eigene System etwas genauer betrachten
Beachtung sollte der Punkt "Verbreitung" finden.
Netzwerkfähige Malware zielt meist auf einen bestimmten Port ab, um sich zu verbreiten.
Anschluss/Port: 36794 Bugbear.A
Anschluss/Port: 1080 Bugbear.B
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
22.11.2003, 18:11
...neu hier

Beiträge: 4
#10 Nun ja , nur habe ich mitlerweile einige Personen in meinem Bekanntenkreis gefragt und auch die habe diese Art von "Angriffen" in der letzten Zeit vermehrt.
Was heißt vermehrt !! Bis vor zwei Monaten hatte auch von denen niemand eine solche Wahrmeldung. Ist doch schon komisch.
Bin jetzt schon seid Tagen im Netz am schauen aber noch beschäftigt sich keiner so wirklich mit dem Thema.

MFG
Seitenanfang Seitenende
22.11.2003, 20:28
Moderator
Avatar joschi

Beiträge: 6466
#11 Ob der Angriff vom eigenen System ausgeht, oder von außen kommt. Man sollte sich darum kümmern.
In ersterem Fall gilt es zu prüfen: Was oder welches Programm/Datei unternimmt einen Verbindungsversuch zu einem entfernten System ?

In diesem Fall zu Port 1080 des fremden Systems. Diesen Fall habe ich auch, wenn ich z.B in einem Messenger oder FTP-client einen Socksproxy eintrage und mich dann zu diesem verbinde. Also ein völlig erwünschter und bewusst herbeigeführter Vorgang.

2 Vorschläge:

1.) Mit einem Programm bewusst eine Verbindung zu einem Socks-Proxy aufnehmen. Erfolgt die Warnmeldung á la "Bugbear" bleibt einem wohl nur die Deinstallation und das Amusement ;).

2) Bei http://www.sysinternals.com/ TCP-VIEW besorgen und im Falle, daß diese Meldung unerwartet auftaucht, mittels dieses Progrmmas versuchen festzustellen, welches Programm/Datei denn eine Verbindung zu dem besagten Port aufnehemn will.
Zuvor empfielht es sich, sich mit dem Programm vertraut zu machen.
Und: Lokale und Remote-Ports unterscheiden !!

An aller erster Stelle steht aber die Gewissheit, daß das System virenfrei ist.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
27.11.2003, 17:35
...neu hier

Beiträge: 2
#12 Hi
Habe auch schon seit einer Woche das BD_Bugbear Problem bis zu 50 mal am Tag popt die Warnung auf.
Benutze NIS 2004 und bin hinter einem Rooter von Netgear(RP614)

Hier die Meldung:
Zugriffsversuch: BD_BUGBEAR
Angreifer: localhorst(3161)
Risikostufe: Hoch
Protokoll: TCP.
Angegriffene IP: 81.37.17.61
Angegr. Port: socks(1080)

Wenn ich dann auf weitere Optionen gehe kommt die Meldung
Das die Angreifer IP 127.0.0.1 und das diese im Eigenen Netzwerk läge.
Jedoch kommt diese Meldung auch wenn kein anderer PC im Netzwerk läuft.

Diese Meldung kommt aber nur wenn ich Emule am laufen habe. Habe sonst wenig Ahnung von so etwas aber ich würde mich über einen guten Ratschlag freuen.
Seitenanfang Seitenende
28.11.2003, 20:42
...neu hier

Beiträge: 1
#13 Hi
jo, mein Nachbar hat XP und Norton Security 2003.

Nebenbei Emule laufen, und dann kommt ebenfalls wie bei Euch eine Attacke!
Nicht nur der BD-Bugbear sondern manchmal auch was anderes, auch 127.0.0.1 ist dabei.

Wir haben schon den SpyBot, Adware 6.0, NAV und alles mögliche laufen lassen, aber da ist nix zu finden!

Ich such nochmal fleißig.
Wenn ich was finde, poste ich's hier rein.

Gruß,
Gummipunkt
Seitenanfang Seitenende
28.11.2003, 21:47
Moderator
Avatar joschi

Beiträge: 6466
#14 @ Larry :
Hast Du in Emule mal überprüft, ob unter "Einstellungen" => "Proxy" ein Server eingtragen ist ?

Aussagen wie "127.0.0.1 war dabei" sind nicht hilfreich. Nur die exakte Meldung bringt uns weiter. Nebenbei 127.0.0.1 ist immer das eigene Netz.
Das ist niemals außerhalb des eigenen PCs, auch nicht im LAN. 127.0.0.1 ist der lokale Rechner.

Noch etwas, was man wissen sollte: Wenn ein Programm wie Emule läuft, baut dieses sehr viele Verbindungen zu Ports anderer Rechner auf. Dabei werden Ports von >1024 bis 65535 angesprochen.
Es ist durchaus denkbar, daß Symantec mit den Liveupdates auch der Firewall "Signaturen" verpasst hat, die besagen, daß ein Alarm ausgespuckt werden soll, wenn eine Anwendung vom lokale Rechner sich zu einem anderen System auf einem bestimmten Port verbinden möchte.
Ich versuche hier ein paar mögliche Zusammenhänge klar zu machen, ob es sich so verhält, könnt nur ihr überprüfen, indem ihr z.B bewusst eine Verbindung zu einem Socks-Proxy herstellt. Z.B in emule oder Kazaa oder sonstigen Programmen, die in ihren Optionen das Verbinden zu einem Socks ermöglichen.
Eine Liste davon findet ihr hier http://www.samair.ru/proxy/socks.htm .
Ich bitte auch im Sinne Anderer, die evtl das selbe Problem haben, ausdrücklich um Rückmeldung. Danke.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
28.11.2003, 23:56
...neu hier

Beiträge: 1
#15 hallo,
hatte auch folgende meldung unter protokollanzeige von norton internet security 2003 pro :
Details:ein unberechtigter Zugriffsversuch "BD_BUGBEAR" von Ihrem Rechner auf ......... wurde erkannt und blockiert.
Angreifer: localhost(3723)
Risikostufe: hoch
Protokoll: TCP
Angegriffene IP: .....
Angegr. Anschluss: socks(1080)

ich vermute mal ein trojaner von dem Norton noch nix mitbekommen hat ..
mich stört der, aber keine ahnung wie ich denn wegmachen soll.
habe antivirus bei mir und online durchlaufen lassen, desweiteren security check bei symantec, dann noch adaware6 und noch das antiprogramm gegen den w32bugbear worm.. aber keiner hat was gefunden ...

bitte bitte wann gibt es endlich die lösung???
__________
Born with wings of light and a sword of faith, this heavenly incarnation embodies both fury an purity !
Seitenanfang Seitenende