Bifrost infiziert - help pls

J

Jolle775

0
Moinsen Leutz

Ich bin gerade stinkesauer weil ich auf so einen noobtrick reingefallen bin.

Und zwar war ich Counterstrike spielen und wollte nen 2 vs 2 spielen.
Jemand sagte ob ich auf en Voice Server Ventrillo 2.4 kommen kann. da ich nur die 2.3er Version habe sollte ich sie mir runterladen

hxxp://uploaded.to/?id=ja9o1i

DIese Oben verlinkte datei ist eine Ausführbare Datei wo sich Bifrost durch einen linker am ende des Programms mit installiert!

Dies habe ich erst gemerkt nachdem mein Steam account nichtmehr ging :-(

Was tun? ganz klar -sufu!

Link zum HaboThema

Joar, TCPView zeigt mir icq, firefox auf Port 1764 usw an!

Sieht alles clean aus...

Hijackthis zeigt auch keine ungewöhnlichen Werte an, sowie in der Registry bei Run (bzw msconfig nachschauen) ist auch nix ungewöhnliches...

Es sei den "KernelFaulcheck Reg_EXPAND_SZ %systemroot%\system32\dumprep 0 -k" ist was, was ich ber nicht denke ;-) weil ichs schon immer drauf habe..
btw könnte mir jemand diesen Schlüssel mal erklären und mir sagen ob ich ihn im Autostart drinne lassen sollte!

Code: 
[System Process]:0	TCP	c3po:3006	localhost:18350	TIME_WAIT	
[System Process]:0	TCP	c3po:2988	hu-in-f104.google.com:http	TIME_WAIT	
[System Process]:0	TCP	c3po:2989	mu-in-f165.google.com:http	TIME_WAIT	
[System Process]:0	TCP	c3po:3007	localhost:18350	TIME_WAIT	
avgnt.exe:220	TCP	c3po:1027	localhost:18350	ESTABLISHED	
avguard.exe:1968	TCP	c3po:18350	c3po:0	LISTENING	
avguard.exe:1968	TCP	c3po:18350	localhost:1027	ESTABLISHED	
firefox.exe:1764	TCP	c3po:2940	localhost:2941	ESTABLISHED	
firefox.exe:1764	TCP	c3po:2941	localhost:2940	ESTABLISHED	
firefox.exe:1764	TCP	c3po:2942	localhost:2943	ESTABLISHED	
firefox.exe:1764	TCP	c3po:2943	localhost:2942	ESTABLISHED	
ICQLite.exe:460	TCP	c3po:1028	c3po:0	LISTENING	
ICQLite.exe:460	TCP	c3po:1028	localhost:2846	ESTABLISHED	
ICQLite.exe:460	TCP	c3po:1028	localhost:2835	ESTABLISHED	
ICQLite.exe:460	TCP	c3po:1028	localhost:1075	ESTABLISHED	
ICQLite.exe:460	TCP	c3po:1075	localhost:1028	ESTABLISHED	
ICQLite.exe:460	TCP	c3po:2835	localhost:1028	ESTABLISHED	
ICQLite.exe:460	TCP	c3po:2846	localhost:1028	ESTABLISHED	
ICQLite.exe:460	TCP	c3po:1058	205.188.9.117:5190	ESTABLISHED	
ICQLite.exe:460	UDP	c3po:1029	*:*		
lsass.exe:908	UDP	c3po:isakmp	*:*		
lsass.exe:908	UDP	c3po:4500	*:*		
Smc.exe:1276	UDP	c3po:1025	*:*		
Smc.exe:1276	UDP	c3po:1031	*:*		
svchost.exe:1140	TCP	c3po:epmap	c3po:0	LISTENING	
svchost.exe:1408	UDP	c3po:1097	*:*		
svchost.exe:1408	UDP	c3po:1057	*:*		
System:4	TCP	c3po:microsoft-ds	c3po:0	LISTENING	
System:4	TCP	c3po:netbios-ssn	c3po:0	LISTENING	
System:4	UDP	c3po:microsoft-ds	*:*		
System:4	UDP	c3po:netbios-ns	*:*		
System:4	UDP	c3po:netbios-dgm	*:*
nochmals die TCPView ausschrift !


So noch nen Comment - das sysintervals von MS aufgekauft wurde kotzt mich voll an^^ aber naja ;-)

Kann mir jemand weiterhelfen - bzw versichern das er netmehr drauf ist?

Danke für Hilfe!!
 
moin moin...
eine Aussage" ist nicht mehr drauf!" kann man nicht treffen, vor allem weil die neueste Version davon mit einem RootKit arbeitet.
Und wir alle wissen ja wie das ganze mit dem stealthen und dem AV ist! ?(
Bifrost haut sich in viele Prozesse rein und wie auch in dem anderem Link schon beschrieben unter den geilsten Namen.
Der Trojaner reproduziert sich auch wieder selber.... mmh X(

Wenn du aber keinen Traffic nach draussen hast, so das die Server.exe nichts mehr sendet ist zumindest die Backdoor funktion fürs erste nicht gegeben!

Die neue Version 1.2.XX (1 oder 2) kene Ahnung ist mit einem RootKit versehen und somit weis ich auch nicht was die macht oder tut (Keylogger etc.??)


Vielleicht findest du hier mehr info's!!

Bifrost forum

Gruß Byte Surfer

P.S. ich würde ihn neu aufsetzen 8o

Achja... wieso laufen die svchost diense eigentlich auf UDP ?(
 
Original von ByteSurfer
Achja... wieso laufen die svchost diense eigentlich auf UDP ?(
Zum Vergrößern anklicken....

Moin
danke für die Antwort
hab vor 2 Tagen neu aufgesetzt....SOOO kein bock drauf^^

UDP...hm naja erzähl warum es so schlecht ist und wie ichs verhindern/ändern kann

ansonsten...naja habe die datei gemeldet + virustotal drauf aufmerksam gemacht, er sollte also nun nochmal neu stealthen xD
 
hast du firefox am laufen bzw. icq? wenn nicht einfach runterhauen .. bifrost infiziert sich gerne in.. firefox iexplorer und icq / msn
 
@b4ck

wenn nicht einfach runterhauen ..
Zum Vergrößern anklicken....
Ist damit das Problem behoben?! Denke wohl eher nicht!

@Jolle775
Mit dem UDP und der svchost kann ich dir kein vor bzw. nachteil nennen.
Wunderete mich nur das die auch ne UDP Verbindung hat... ?(

Wenn mir jemand dazu was sagen kann würde ich mich freuen

Gruß
ByteSurfer
 
Hi

h3h3 heute mal neugestartet und festgestellt das sich No-Ip und Remote-Desktop über Firefox verbinden wollen

d.h. er ist immernoch drauf^^
Das suckt :-D
Ich habs geblockt..aber wer weiß..kb das er mir die PWs ausließt :-(

MEIn schöner PC :-(

xD

Es gab bei CIA nen Removaltool...gibbet das bei BiFrost etwa net?

Aber gut das ich jetzt seine no-ip addresse hab^^ kann man sich da beschweren?
 
Original von Jolle775
Aber gut das ich jetzt seine no-ip addresse hab^^ kann man sich da beschweren?
Zum Vergrößern anklicken....
Versuch seine IP heraus zu finden und schicke eine abuse-mail zu ihm.
Du kannst versuchen seine IP per cmd->'ping' + adresse, oder falls das nicht klappt kannst du ja mal bei no-ip nachfragen, ob sie dir seine IP herrausgeben. Wenn beides nicht klappt, denke ich kann man auch direkt bei no-ip eine abuse-mail abgeben, aber dann wird vermutlich nur der no-ip account gelöscht...

Wobei ich mir nicht sicher bin, ob bei der methode mit dem anpingen nur die ip-adresse von no-ip, oder die des Trojaner-Kiddys sich herrausfinden lässt.

Hat dein Anti-Viren-Programm nicht auch den Eindringling beim eindringen während der Installation alarm-geschlagen? X(
 
mit anpingen lässt sich die IP des "kiddies" sicher rausfinden.. ich habe selbst eine no-ip adresse um meine rechner zuhause anpingen zu können bzw. sie per ssh - zu verwalten...
 
hab vor 2 Tagen neu aufgesetzt....SOOO kein bock drauf^^
Zum Vergrößern anklicken....
und schon wieder was eingefangen ?( :rolleyes:

Ob Du an die Ip bzw. den Bösen Buben ran kommst ist fraglich.

Ich habs geblockt..aber wer weiß..kb das er mir die PWs ausließt :-(
Zum Vergrößern anklicken....
Sollte eine Verbindung nach draussen einmal funktioniert haben könnte es sein das daten hochgeladen wurden?

mit anpingen lässt sich die IP des "kiddies" sicher rausfinden..
Zum Vergrößern anklicken....
Der Trojaner der bei dir drauf ist versucht sich ja über die DNS mit dem Client zu verbinden!
Ist wohl eher fraglich das du an die IP kommst.

abuse-mail--> schimpfende/ beleidigende Mail = keine Aussicht auf Erfolg

Es gibt ein Programm das den Ziel Host findet und du an eine IP kommen könntest...
Weis nimmer wo ich das gelesen habe?
Die Frage hier ist aber erstmal wieso das ding nach einer Neuinstallation noch immer drauf ist?

lausche am Port und versuch den Dienst rauszukriegen der sich connecten will und eliminiere diesen

Gruß

ByteSurfer
 
...wieso sehe ich beim anpingen meiner no-ip dns dann die IP meines rechners zuhause?
ping die no.-ip adresse und du hast seine IP ausser er lässts über nen proxy laufen..
 
gut bevor ich mich jetzt um kopf und kragen rede :P
Meiner Meinung nach:

Ist No Ip dazwischen

Der Server(Bifrost) der sich bei dem Opfer befindet versucht sich mit der angegebenen DNS/No-IP zu verbinden, sodass der Client sich ebenfalls dann mit No-IP connected und die Verbindung steht.

Solltest Du einen Ping durchführen würde diese theoretisch von dem Server der DNS / No-IP beantwortet werden, da du ja auh diese URL anpingst und somit nicht von dem Bösen Buben.

:D konnte man das jetzt verstehen?

Greetz
 
falsch..
no-ip leitet die anfragen und auch die ping anfrangen an deine home-ip weiter...wozu gäbe es sonst no-ip?
das funktioniert so: ich ping zB maxmuster.no-ip.info....die ping anfrage kommt zu no-ip... dort jedoch ist deine home-ip eingetragen entweder mit dem no-ip tool das immer wieder deine IP an zu no-ip schickt oder man hat so eine funktion im router eingebaut...

und wenn ich dir schon den praktischen beweis liefern kann, könntest du mir langsam glauben^^

der traffic wird also nur weitergeleitet d.h



bifrost opfer ----> no-ip ---->bifrost kiddie

und nicht

bifrost opfer --->no-ip<---bifrost kiddie
 
@ByteSurfer: Das ist aber eigentlich nicht der Sinn von No-IP. Das ist (normalerweise) ein einfacher DNS-Server der natürlich die IP-Adresse des "bösen Buben" rausrückt. Man meldet bei No-IP die aktuelle IP-Adresse die von dort bei Anfrage wieder zurückgegeben wird.

Gruß odigo

Edit: ups, b4ck war schneller
 
so^^
nun lasst mich auch mal wieder zu wort kommen xD

Und zwar habe ich ihn vor 3-4 Tagen neu aufgesetzt.
Des mache ich aller halben bis dreivirtel jahr, diesmal wars dringend nötig.

Es war vorher kein Virus/Trojaner auf den Rechner.

Habe meinen Rechner neu aufgesetzt. Dauerte nicht solange wie vorher, da ich alle Backups noch da hatte.

Anpingen funktionierte nicht - funktioniert das nur wenn der "hacker" (lol xD) on ist?

Aufjedenfall war er gut. Habe selber früher mit Bifrost hantiert und konnte ihn nicht so gut stealthen und konnte auch nicht so schnell und so ungesehen Steampasswörter auslesen (ich habe nen Programm hochgeladen das ich dann ausführte und es mir auf den Bildschirm des Opfers die Daten anzeigte - das war hier nicht der Fall!) ... ( natürlich war das früher alles nur zu testzwecken.)

...Naja...ich hoffe trotzdem das sich vllt ein allroundtool findet womit andere weitergeholfen wird (wie gesagt bei CIA 1.3 gabs das)

Ich danke erstmal..muss nun erstmal alles wieder einrichten :-(
 
@b4ck
und wenn ich dir schon den praktischen beweis liefern kann, könntest du mir langsam glauben^^
Zum Vergrößern anklicken....
das ist das schöne an einem Forum wie diesen! Man lernt dazu und kann sich austauschen.... Danke für die Aufklärung
P.S. Ich glaube Dir ;)

@odigo
Auch ein dank an Dich für deine Ergänzungen

@Jolle775
Was soll ich nun noch sagen?! :rolleyes:

Gruß an alle

ByteSurfer
 
Original von Jolle775
Original von ByteSurfer
@Jolle775
Was soll ich nun noch sagen?! :rolleyes:
Zum Vergrößern anklicken....
sprich zu mir :-P
Zum Vergrößern anklicken....

na, das mach ich jetzt einfach mal.:D

du sagst, dass du vor dem letzten aufsetzen keinen trojaner drauf hattest. im nächsten absatz erzählst du aber, dass du damit rumexperimentiert hast. weisst du in etwa, worauf ich hinaus will.
ich mein, wenn du schon mit trojanern/rat/rootkits usw. rumexperimentierst, warum machst du das denn nicht besser auf nem zweiten Betriebssystem ohne sensible Daten und vor allen Dingen ohne Internetzugang.
Bei solchen Sachen weiss man so gut wie nie, ob die Dinger nicht selbst Trojaner haben, die dich infizieren. Gut, kann man schon wissen, aber dafür sind dann glaub ich Assemblerkenntnisse jenseits von Gut und Böse nötig (zumnidest aus normaler Sicht :D).
 
ah jetzt^^

nene das war wie gesagt früher - wo ich jung und knackig war (1-2 jährschen her)...xD

also war auf keinen der Systeme die ich hier genannt habe solche Datein :-)
 
ach so. na hätte ja sein können. ich hadere bis heut noch, ob ich meine eigenen dateien backuppe oder nicht und das system an neuaufsetze und richtig dicht mache. hab nämlcih angst, dass sich da was "eingeschlichen" haben könnte.
dachte, dass das bei dir passiert wäre.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben