Bifrost eingefangen, gelöscht, IP ermittelt -> und jetzt?

[LeBkUcHeN85]

Mahlzeit Community!

Habe mir unglücklicherweise Bifrost eingefangen; wie es scheint aber löschen können.

Ich habe die IP des Rechners, der den Server verteilt hat.
Kann ich was damit anfangen? Laut einer WHOIS-Abfrage ist es jemand aus Katar, Qatar Telecom, Q.S.C.
Der soll auf jeden Fall auf die Mütze bekommen!
Wie stelle ich das an? Ich will nicht dass er einfach so davon kommt!!

Danke schon mal Leute

 

[dutchman2006]

Ruf' dort bei diesem Provider an - meld denen das dir von dieser IP Bitfrost untergejubelt wurde und sag du willst wissen, wie in so einer Situation verfahren wird...

Keine Ahnung wie das in Qatar so ist, einfach dort direkt nachfragen!

 

[LeBkUcHeN85]

Anrufen ist doch bestimmt verdammt teuer... und am Ende wird der Miesepeter nicht mal bestraft... das wärs doch ^^

 

[Mackz]

Normal hat jeder Provider eine abuse Emailadresse ...
Die müsste im WHOIS auch angegeben sein.

 

[LeBkUcHeN85]

ich würde die whois-abfrage gerne posten, aber ich glaube ich darf das nicht oder..?

auf jeden fall steht nach e-mail nichts.

wie könnte ich das überhaupt beweisen?

 

[buggybunny]

ich würde die whois-abfrage gerne posten, aber ich glaube ich darf das nicht oder..?

Natürlich darfst du das.

Poste mal die IP.

 

[Harry Boeck]

Noch viel wichtiger ist:

1. Wie hast Du den eingefangen? Mit einem ungepatchten System? Oder durch unachtsames Starten einer aktiven Komponente? Oder ist trotz gepatchtem System durch Widergabe einer Mediendatei das Ding installiert worden? Welches Transportmittel wurde für diesen Befall benutzt? Ist das was neues?

2. Wie wehrst Du Dich künftig gegen Neubefall? Durch Benutzung eines eingeschränkten Kontos, unter dem Du (und jedes von Dir gestartete Programm) nicht mehr irgendwelche Server ins Programm-Verzeichnis schreiben darfst? Oder wartest Du lieber auf den nächsten Auto-Installer?

----

Der Server, von dem das Ding kam, kann mit einiger Wahrscheinlichkeit selbst ein Opfer (also ein Zombie-PC in einem Botnetz) sein. Wie auch immer: Es bringt nichts, bösartig gegenüber dem Betreiber zu reagieren. Eine Meldung ist sinnvoll, sowohl an den Serverbetreiber (wenn der sich ermitteln läßt) als auch an einen eventuellen Rechenzentrenbetreiber und an sowas wie CastleCops.

 

[LeBkUcHeN85]

Wie ich den eingefangen hab?
War auf der Arbeit, Rechner angemacht. War zufällig auf einer Partition meiner Festplatte.. da sah ich ein Biild. Nach dem Öffnen passierte nichts. Gut, da wusste ich, dass es sich um einen Trojaner handelt.
Sehr komisch, ich habe nichts runtergeladen. Verstehs einfach nicht. Das bedeutet, noch paranoider werden.
Das war ein frisch gecrypteter. Viele haben den auf virustotal nicht erkannt.
Hab den Server noch da, hab ma AntiVir und McAffee installiert, die spucken auch keine Meldung aus.

Was meinste mit CastleCops?

Ich finde das mehr als beschissen, dieser Scriptkiddie (ist 100% einer) begeht eine Straftat (oder bestimmt mehrere) und wird nicht bestraft...
Dann kann ja jeder den Trojaner stealhen und verschicken... wie arm ist das denn...

Auch wenn ich eine Abusemail-Addy hätte, würde das nichts bringen? Schließlich kann ja jeder was schreiben..

buggybunny:
Super, hier die IP:
89.211.192.60

Hey da stehen ein paar E-Mail-Addy =)
Ich glaub ich schreib mal alle an ^^

Dieser Drecksack soll bestraft werden.

Und vielen Dank für euren Einsatz Jungs

 

[Banur]

CastleCops?

Ich glaube nicht, dass es ein Scriptkiddie war, denn es sieht, wie Harry Boeck bereits sagte, nach einem Zombierechner aus und es sollten neue Rechner infiziert werden.

#edit: whois Abfrage
Wie es scheint hat Qatar einen Zwangsproxy.

 

[LeBkUcHeN85]

Naja, das ist ja n Trojaner mit reverse-connection;
beim Erstellen der Server-Datei (die man am Ende verteilt) gibt man ja die IP an, zu dem sich der Server connecten soll.
Und mein Rechner hat eine Verbindung zur oben genannten IP-Adresse aufgebaut (netstat -a).

Wie kommste auf n Zombierechner?

 

[0mega]

http://www.lv1.ifkomhessen.de/zombie.htm

kurz gesagt, ein infizierter privatrechner der für finstere zwecke missbraucht wird (ferngesteuert). ich glaub nur nich dran, dass dieser dann ausgerechnet zum versenden weiterer trojaner verwendet wird

mfg.

 

[Banur]

Original von 0mega
ich glaub nur nich dran, dass dieser dann ausgerechnet zum versenden weiterer trojaner verwendet wird.

Doch, gerade dafür werden die benutzt, denn so wird die Spur zu diesem Zombie gelegt und nicht zu dem Täter.

Original auf Wikipedia
Zombiesysteme werden unter anderem dazu genutzt,[...]weitere Zombies zu erschaffen...

 

[0mega]

ah, oke.. danke für die aufklärung ^^

 

[+++ATH0]

Doch, gerade dafür werden die benutzt, denn so wird die Spur zu diesem Zombie gelegt und nicht zu dem Täter.

Dann müsste die Verbindung aber zum richtigen Täterrechner relayed werden. Sowas bietet Bifrost meines Wissens von Haus aus nicht. Solch eine Funktion müsste erstmal auf dem Zombie implementiert werden. Das müsste jemand tun, der Ahnung hat.
Und bei allem Respekt, jemand der zum einen schonmal Bifrost benutzt und die "Server.exe" mit tausenden Packern/Crpytern versucht vor AVs zu verstecken, der bekommt so etwas nicht hin. Sequitur: Es ist eher wahrscheinlich, dass die IP wirklich dem Täter gehört.

 

[Banur]

Da die IP zu dem Proxyserver von Qatar gehört, gibt es nur noch die Möglichkeit, die dutchman2006 schon nannte, Qtel zu kontaktieren und nach der richtigen IP zu fragen bzw. den Vorfall zu melden.

 

[LeBkUcHeN85]

Vielen Danke Leute 8)

Gut, dann werde ich mich an QTel wenden.

Frage mich nur wie ich das beweisen soll.. schließlich kann ja jeder Behauptungen aufstellen..

 

[0mega]

log vom virenscanner beifügen, wenns geht noch anhaltspunkte wie du auf die IP gekommen bist (logs vonner firewall?)

mfg.

 

[LeBkUcHeN85]

sehr schön

das nächste mal mache ich auch n screenshot von der ausgabe von netstat -a
wenns ein nächstes mal geben wird ^^ (zu hause nutze ich eh linux)