[HaBo]

LeBkUcHeN85 · 14.04.08, 15:55

Mahlzeit Community!

Habe mir unglücklicherweise Bifrost eingefangen; wie es scheint aber löschen können.

Ich habe die IP des Rechners, der den Server verteilt hat.
Kann ich was damit anfangen? Laut einer WHOIS-Abfrage ist es jemand aus Katar, Qatar Telecom, Q.S.C.
Der soll auf jeden Fall auf die Mütze bekommen!
Wie stelle ich das an? Ich will nicht dass er einfach so davon kommt!!

Danke schon mal Leute :)

dutchman2006 · 14.04.08, 16:13

Ruf' dort bei diesem Provider an - meld denen das dir von dieser IP Bitfrost untergejubelt wurde und sag du willst wissen, wie in so einer Situation verfahren wird...

Keine Ahnung wie das in Qatar so ist, einfach dort direkt nachfragen!

Anzeige

- Anzeige -

LeBkUcHeN85 · 14.04.08, 16:35

Anrufen ist doch bestimmt verdammt teuer... und am Ende wird der Miesepeter nicht mal bestraft... das wärs doch ^^

**Mackz** · 14.04.08, 16:39

Normal hat jeder Provider eine abuse Emailadresse ...
Die müsste im WHOIS auch angegeben sein.

LeBkUcHeN85 · 14.04.08, 16:53

ich würde die whois-abfrage gerne posten, aber ich glaube ich darf das nicht oder..?

auf jeden fall steht nach e-mail nichts.

wie könnte ich das überhaupt beweisen?

buggybunny · 15.04.08, 13:30

Zitat:

ich würde die whois-abfrage gerne posten, aber ich glaube ich darf das nicht oder..?

Natürlich darfst du das.

Poste mal die IP.

Harry Boeck · 15.04.08, 17:03

Noch viel wichtiger ist:

1. Wie hast Du den eingefangen? Mit einem ungepatchten System? Oder durch unachtsames Starten einer aktiven Komponente? Oder ist trotz gepatchtem System durch Widergabe einer Mediendatei das Ding installiert worden? Welches Transportmittel wurde für diesen Befall benutzt? Ist das was neues?

2. Wie wehrst Du Dich künftig gegen Neubefall? Durch Benutzung eines eingeschränkten Kontos, unter dem Du (und jedes von Dir gestartete Programm) nicht mehr irgendwelche Server ins Programm-Verzeichnis schreiben darfst? Oder wartest Du lieber auf den nächsten Auto-Installer?

----

Der Server, von dem das Ding kam, kann mit einiger Wahrscheinlichkeit selbst ein Opfer (also ein Zombie-PC in einem Botnetz) sein. Wie auch immer: Es bringt nichts, bösartig gegenüber dem Betreiber zu reagieren. Eine Meldung ist sinnvoll, sowohl an den Serverbetreiber (wenn der sich ermitteln läßt) als auch an einen eventuellen Rechenzentrenbetreiber und an sowas wie CastleCops.

LeBkUcHeN85 · 15.04.08, 19:58

Wie ich den eingefangen hab?
War auf der Arbeit, Rechner angemacht. War zufällig auf einer Partition meiner Festplatte.. da sah ich ein Biild. Nach dem Öffnen passierte nichts. Gut, da wusste ich, dass es sich um einen Trojaner handelt.
Sehr komisch, ich habe nichts runtergeladen. Verstehs einfach nicht. Das bedeutet, noch paranoider werden.
Das war ein frisch gecrypteter. Viele haben den auf virustotal nicht erkannt.
Hab den Server noch da, hab ma AntiVir und McAffee installiert, die spucken auch keine Meldung aus.

Was meinste mit CastleCops?

Ich finde das mehr als beschissen, dieser Scriptkiddie (ist 100% einer) begeht eine Straftat (oder bestimmt mehrere) und wird nicht bestraft...
Dann kann ja jeder den Trojaner stealhen und verschicken... wie arm ist das denn...

Auch wenn ich eine Abusemail-Addy hätte, würde das nichts bringen? Schließlich kann ja jeder was schreiben..

buggybunny:
Super, hier die IP:
89.211.192.60

Hey da stehen ein paar E-Mail-Addy

Ich glaub ich schreib mal alle an ^^

Dieser Drecksack soll bestraft werden.

Und vielen Dank für euren Einsatz Jungs

Banur · 15.04.08, 20:09

CastleCops?

Ich glaube nicht, dass es ein Scriptkiddie war, denn es sieht, wie Harry Boeck bereits sagte, nach einem Zombierechner aus und es sollten neue Rechner infiziert werden.

#edit: whois Abfrage
Wie es scheint hat Qatar einen Zwangsproxy.

LeBkUcHeN85 · 15.04.08, 20:17

Naja, das ist ja n Trojaner mit reverse-connection;
beim Erstellen der Server-Datei (die man am Ende verteilt) gibt man ja die IP an, zu dem sich der Server connecten soll.
Und mein Rechner hat eine Verbindung zur oben genannten IP-Adresse aufgebaut (netstat -a).

Wie kommste auf n Zombierechner?

0mega · 18.04.08, 01:01

http://www.lv1.ifkomhessen.de/zombie.htm

kurz gesagt, ein infizierter privatrechner der für finstere zwecke missbraucht wird (ferngesteuert). ich glaub nur nich dran, dass dieser dann ausgerechnet zum versenden weiterer trojaner verwendet wird o.O

mfg.

Banur · 18.04.08, 09:14

Zitat:

Original von 0mega
ich glaub nur nich dran, dass dieser dann ausgerechnet zum versenden weiterer trojaner verwendet wird.

Doch, gerade dafür werden die benutzt, denn so wird die Spur zu diesem Zombie gelegt und nicht zu dem Täter.

Zitat:

Original auf Wikipedia
Zombiesysteme werden unter anderem dazu genutzt,[...]weitere Zombies zu erschaffen...

0mega · 18.04.08, 10:44

ah, oke.. danke für die aufklärung ^^

+++ATH0 · 18.04.08, 14:35

Zitat:

Doch, gerade dafür werden die benutzt, denn so wird die Spur zu diesem Zombie gelegt und nicht zu dem Täter.

Dann müsste die Verbindung aber zum richtigen Täterrechner relayed werden. Sowas bietet Bifrost meines Wissens von Haus aus nicht. Solch eine Funktion müsste erstmal auf dem Zombie implementiert werden. Das müsste jemand tun, der Ahnung hat.
Und bei allem Respekt, jemand der zum einen schonmal Bifrost benutzt und die "Server.exe" mit tausenden Packern/Crpytern versucht vor AVs zu verstecken, der bekommt so etwas nicht hin. Sequitur: Es ist eher wahrscheinlich, dass die IP wirklich dem Täter gehört.

Banur · 18.04.08, 15:39

Da die IP zu dem Proxyserver von Qatar gehört, gibt es nur noch die Möglichkeit, die dutchman2006 schon nannte, Qtel zu kontaktieren und nach der richtigen IP zu fragen bzw. den Vorfall zu melden.

Anzeige

- Anzeige -

14.04.08, 15:55	#1 (permalink)
LeBkUcHeN85 Registriert seit: 18.04.06 Likes: 0	Bifrost eingefangen, gelöscht, IP ermittelt -> und jetzt? Anzeige Mahlzeit Community! Habe mir unglücklicherweise Bifrost eingefangen; wie es scheint aber löschen können. Ich habe die IP des Rechners, der den Server verteilt hat. Kann ich was damit anfangen? Laut einer WHOIS-Abfrage ist es jemand aus Katar, Qatar Telecom, Q.S.C. Der soll auf jeden Fall auf die Mütze bekommen! Wie stelle ich das an? Ich will nicht dass er einfach so davon kommt!! Danke schon mal Leute :)

14.04.08, 16:39	#4 (permalink)
Mackz Administrator Registriert seit: 02.10.01 Likes: 30	Normal hat jeder Provider eine abuse Emailadresse ... Die müsste im WHOIS auch angegeben sein. __________________ RL sux big time... auch 2012! Deleting pr0n is like killing your best friend [HaBo] bei Facebook - Werde Fan

18.04.08, 01:01	#11 (permalink)
0mega Registriert seit: 05.06.07 Likes: 0	http://www.lv1.ifkomhessen.de/zombie.htm kurz gesagt, ein infizierter privatrechner der für finstere zwecke missbraucht wird (ferngesteuert). ich glaub nur nich dran, dass dieser dann ausgerechnet zum versenden weiterer trojaner verwendet wird o.O mfg. __________________ Jabber: admin@c-r-t.ath.cx

18.04.08, 10:44	#13 (permalink)
0mega Registriert seit: 05.06.07 Likes: 0	ah, oke.. danke für die aufklärung ^^ __________________ Jabber: admin@c-r-t.ath.cx

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

14.04.08, 16:13	#2 (permalink)
dutchman2006 Registriert seit: 21.04.06 Likes: 1	Ruf' dort bei diesem Provider an - meld denen das dir von dieser IP Bitfrost untergejubelt wurde und sag du willst wissen, wie in so einer Situation verfahren wird... Keine Ahnung wie das in Qatar so ist, einfach dort direkt nachfragen!

14.04.08, 16:35	#3 (permalink)
LeBkUcHeN85 Themenstarter Registriert seit: 18.04.06 Likes: 0	Anrufen ist doch bestimmt verdammt teuer... und am Ende wird der Miesepeter nicht mal bestraft... das wärs doch ^^

14.04.08, 16:53	#5 (permalink)
LeBkUcHeN85 Themenstarter Registriert seit: 18.04.06 Likes: 0	ich würde die whois-abfrage gerne posten, aber ich glaube ich darf das nicht oder..? auf jeden fall steht nach e-mail nichts. wie könnte ich das überhaupt beweisen?

15.04.08, 17:03	#7 (permalink)
Harry Boeck Registriert seit: 17.02.06 Likes: 0	Noch viel wichtiger ist: 1. Wie hast Du den eingefangen? Mit einem ungepatchten System? Oder durch unachtsames Starten einer aktiven Komponente? Oder ist trotz gepatchtem System durch Widergabe einer Mediendatei das Ding installiert worden? Welches Transportmittel wurde für diesen Befall benutzt? Ist das was neues? 2. Wie wehrst Du Dich künftig gegen Neubefall? Durch Benutzung eines eingeschränkten Kontos, unter dem Du (und jedes von Dir gestartete Programm) nicht mehr irgendwelche Server ins Programm-Verzeichnis schreiben darfst? Oder wartest Du lieber auf den nächsten Auto-Installer? ---- Der Server, von dem das Ding kam, kann mit einiger Wahrscheinlichkeit selbst ein Opfer (also ein Zombie-PC in einem Botnetz) sein. Wie auch immer: Es bringt nichts, bösartig gegenüber dem Betreiber zu reagieren. Eine Meldung ist sinnvoll, sowohl an den Serverbetreiber (wenn der sich ermitteln läßt) als auch an einen eventuellen Rechenzentrenbetreiber und an sowas wie CastleCops.

15.04.08, 19:58	#8 (permalink)
LeBkUcHeN85 Themenstarter Registriert seit: 18.04.06 Likes: 0	Wie ich den eingefangen hab? War auf der Arbeit, Rechner angemacht. War zufällig auf einer Partition meiner Festplatte.. da sah ich ein Biild. Nach dem Öffnen passierte nichts. Gut, da wusste ich, dass es sich um einen Trojaner handelt. Sehr komisch, ich habe nichts runtergeladen. Verstehs einfach nicht. Das bedeutet, noch paranoider werden. Das war ein frisch gecrypteter. Viele haben den auf virustotal nicht erkannt. Hab den Server noch da, hab ma AntiVir und McAffee installiert, die spucken auch keine Meldung aus. Was meinste mit CastleCops? Ich finde das mehr als beschissen, dieser Scriptkiddie (ist 100% einer) begeht eine Straftat (oder bestimmt mehrere) und wird nicht bestraft... Dann kann ja jeder den Trojaner stealhen und verschicken... wie arm ist das denn... Auch wenn ich eine Abusemail-Addy hätte, würde das nichts bringen? Schließlich kann ja jeder was schreiben.. buggybunny: Super, hier die IP: 89.211.192.60 Hey da stehen ein paar E-Mail-Addy Ich glaub ich schreib mal alle an ^^ Dieser Drecksack soll bestraft werden. Und vielen Dank für euren Einsatz Jungs

15.04.08, 20:09	#9 (permalink)
Banur Registriert seit: 15.09.06 Likes: 0	CastleCops? Ich glaube nicht, dass es ein Scriptkiddie war, denn es sieht, wie Harry Boeck bereits sagte, nach einem Zombierechner aus und es sollten neue Rechner infiziert werden. #edit: whois Abfrage Wie es scheint hat Qatar einen Zwangsproxy.

15.04.08, 20:17	#10 (permalink)
LeBkUcHeN85 Themenstarter Registriert seit: 18.04.06 Likes: 0	Naja, das ist ja n Trojaner mit reverse-connection; beim Erstellen der Server-Datei (die man am Ende verteilt) gibt man ja die IP an, zu dem sich der Server connecten soll. Und mein Rechner hat eine Verbindung zur oben genannten IP-Adresse aufgebaut (netstat -a). Wie kommste auf n Zombierechner?

18.04.08, 15:39	#15 (permalink)
Banur Registriert seit: 15.09.06 Likes: 0	Da die IP zu dem Proxyserver von Qatar gehört, gibt es nur noch die Möglichkeit, die dutchman2006 schon nannte, Qtel zu kontaktieren und nach der richtigen IP zu fragen bzw. den Vorfall zu melden.

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Bifrost Trojaner eingefangen	Rayman	Virenschutz · Tools & Aggressive Software	6	26.05.09 20:56
Staatsanwaltschaft ermittelt gegen waretz-seite	markg	News & Ankündigungen	3	02.02.05 12:59
ADMIN User gelöscht, jetzt Daten weg!	jasir73	Windows	15	03.09.03 10:26

[HaBo]

Bifrost eingefangen, gelöscht, IP ermittelt -> und jetzt?