bifrost entfernen

b4ck

b4ck

0
hi ich habe mir nen bifrost trojaner eingefangen draufgekommen bin ich als ich mir mal meine verbindung angesehn hab mit netstat -n

da stand dann ne iP: 84.xxx.xxx.xxx port 2000 Syn Gesendet hab dann mal port 2000 im inet gesucht und gefunden das das der standard bifrost port is frage is jetzt wie krieg ich den weg? adaware S&D hijackthis und antivir sind nicht fündig geworden und ich durchsuch schon die regsitry hab aber bisher nix gefunden wenn jemand die einträge kennt oder mir weiterhelfen kann wäre das nett :)


Desktopfirewall hab ich eigentlich immer aus weiil ich hinter nem router sitzte schützt mich das gegen so einen trojaner? kommt der überhaupt durch den router durch :)?
 
Vermutlich kann sowieso kein Programm auf den Trojaner zugreifen, da der Router dies sperrt.
 
das beruhigt mich schonmal :D wei man s weg kriegt wer noch fein dann bin ich wieder glücklich wie ein glücksbärchen 8)
 
hätte ich eine ahnung welche datein infiziert sind? :D
bitte lies was ich schreibe bevor du postest :)
 
Ich dachte, du hast ein bisschen mehr Grundvoraussetzung. Aber ich erkläre es dir gerne.

Lad dir das Programm TCPView auf http://www.sysinternals.com runter. Dort kann man schauen, welches Programm auf den Port hört usw. Danach kannst du das Programm ganz leicht eliminieren.
 
hui da sag ich mal DANKE^^
der hund hat sich in firefox eingenisstet xD njo jetzt iser weg danke nochmal :)
 
@b4ck:
Ich glaube nicht, dass er weg ist. Der Bifrost-Trojaner ist ein ziemlich hinterlistiger Trojaner. Er hat versch. Startmethoden, Dateinamen und Schlüssel-Namen sind frei wählbar, die Größe der Datei kann zwischen 20kb und 80kb schwanken (je nach Plugins) und er injiziert sich in bestimmte bekannte Prozesse.
Und dass er in Firefox steckt ist auch klar, da er den Browser verwendet um ins Internet zu kommen (von daher bringt auch eine Firewall nix).
Am besten wir überprüfen mal die Standart-Registry-Einträge...
Geh mal auf Start --> Ausführen --> gib "regedit" ein --> und nun gehst du erst in folgendes Verzeichnis HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run und postest mal was da so alles drinsteht. Das gleiche machst du dann noch mit folgendem Registry-Ordner: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Dann sehen wir uns mal an, ob er da dabei steht und wenn ja wissen wir auch wo die .exe von ihm liegt.


@adrian90:
Seit einiger Zeit bringen Router und Firewalls garnichts mehr bei Trojaner. Die neueren Trojaner haben alle die Funktion "Reverse Connection". Damit injizieren sie sich in einen laufenden Prozess (z.B. Browser) und verbinden sich dann zu dem Angreifer. Somit wird die Firewall und Router umgangen, da der komprometierte Prozess ja meistens schon freigegeben ist. ;)
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.:

xpclean C:\WINDOWS\system32\xpclean.exe
TkbellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboo
Remote Control C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
Intel Wireless C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
ePowermanagment C:\Acer\ePM\ePM.exe boot
EPM-DM c:\acer\epm\epm-dm.exe
EQUApp C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
avgnt "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe"



HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run den pfad gibts bei mir nicht :)

tcp viewer zeigt den aber auch nicht mehr an also port 2000
 
OK, der Trojaner liegt in C:\Windows\system32\ und heißt xpclean.exe!!!
Im system32-Ordner befinden sich nur System-Dateien und xpclean.exe ist mit Sicherheit keine System-Datei.
Die Dateien von dem Programm "XPClean" befindet sich auch nicht in diesem Ordner. Facto, muss es es der Trojaner sein. Nebenbei installiert sich Bifrost immer direkt ins Windows- oder ins system32-Verzeichnis...
Wenn du neustarten würdest, wäre der Trojaner auch wieder aktiv. Du hast nur seine aktuelle Verbindung unterbrochen. Daher siehst du auch seinen TCP-Stream nicht mehr.

Also, als erstes geh wieder in die Registry (Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) und lösch dort den Schlüssel xpclean C:\WINDOWS\system32\xpclean.exe. Und danach lösch die Datei xpclean.exe unter C:\Windows\system32\. Wenn du die Datei nicht löschen kannst, dann geh in den abgesicherten Modus von Windows (F8 beim booten gedrückt halten) und mach es dort.

Dann ist der Trojaner komplett von deinem System verschwunden. ;)
 
^^ oh xpclean is mir auch komisch vorgekommen :P
njo danke für die hilfe der is jetzt weg :)
naja da ich wieder was gelernt danke
 
@adrian90:
Das muss er doch auch garnicht! Da das Programm die Verbindung zu dem Cracker (meistens machen Hacker sowas nicht ;) ) aufbaut.
Der Router und die Firewall bieten nur Schutz gegen Verbindungen von außen. Wenn ein bestimmter Prozess (z.B. dein Browser) schon freigegeben ist bei der Firewall (und das ist ja meistens der Fall), dann kann man einen anderen Prozess in diesen injizieren und somit ist die Firewall nutzlos. Und das NAT bringt da auch nichts, weil die Verbindung ja nicht von außen kommt, sondern den ganz normalen Weg geht wie jedes andere Paket auch. Erst über die vorgegebene Route zum Router und dann durch den offenen Port nach außen zum DNS des Angreifers und von dort aus wird er weiterverbunden zur IP des Angreifers. Wenn dieser sein Client-Programm laufen hat, bekommt er eine Benachrichtigung und kann loslegen...
 
Hmm, dann ist das wohl ein spezieller Trojaner :evil:. Dann wird der Hersteller ja schnell gefasst, und der Trojaner ist trotzdem kein grosses Sicherheitsrisiko mehr.
 
Dieses Reverse Connection haben fast alle neuen bekannteren Trojaner.

Auszug aus "Trojan White Paper" von Aelphaeis Mangarae (2006)

Reverse Connection

Due to the fact that many computers connected to the Internet are behind routers or on a LAN, Trojans a couple of years ago started incorporating Reverse Connection.
Reverse Connection is when the Trojan server connects to the Client. This makes it possible for an attacker to gain access to a specific node on a network. If the hardware firewall (If the LAN has one) isn?t configured correctly and allows outbound connections on any port, then the attacker can easily gain access.
In the case of a Software Firewall, the Trojan will use a technology called Firewall Bypass Sharp to bypass the firewall, I have explained this in more detail above.


Firewall Bypass

There are 3 types of FWB Methods currently in use by public Trojans, FWB, FWB+ and FWB# (FWB Sharp.)
FWB (Firewall Bypass) works by simply injecting the Trojan into a process as a DLL. Firewall vendors responded by blocking unknown DLL?s from injecting themselves into trusted applications.
Trojans coders then found away around having a DLL, by making the Trojan inject itself into the process with out need for a DLL. Firewall vendors then responded once again by blocking all the API used by Trojan coders to
inject their Trojans into known trusted applications.
Finally a coder by the name of Aphex released some code he labeled Firewall Bypass Sharp, which was able to bypass many trusted firewalls.
Firewall Bypass Sharp works by finding the address of the function, rather than just simply attempting to call the API. It is likely the battle will continue between Trojan coders and Firewall vendors.
Will this cause Firewall vendors to have an active update service like Anti-Virus vendors?
Zum Vergrößern anklicken....

Um nur ein paar bekannte Trojaner zu nennen, die diese Technologien nutzen:
- Back Orifice XP (Reverse Connection)
- Bifrost (Firewall Bypass + Reverse Connection)
- CIA (Firewall Bypass + Reverse Connection)
- Nuclear RAT (Firewall Bypass + Reverse Connection)
- Poison Ivy (Firewall Bypass + Reverse Connection)
- Tequila Bandita (Firewall Bypass + Reverse Connection)
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben