Was ist BDS/Bifrose.RR?

Dieses Thema im Forum "Windows" wurde erstellt von gurkentisch, 3. Juni 2006 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 3. Juni 2006
    HI!
    WTF ist BDS/Bifrose.RR?
    Ich hab da 3-5 von aufm PC!
    Wäre super wenn mir jemand helfen kann!
    Unter anderem is das Ding auch in Explorer.exe drinnen!
    10er geht kla!
     
  2. 3. Juni 2006
    Schon mal dran gedach google zu benutzten?

    Ist n Trojaner...

    http://www.sarc.com/avcenter/venc/data/backdoor.bifrose.c.html

    Da dürfteste n bisschen mehr dazu finden...

    mfg thymin
     
  3. 3. Juni 2006
    Das is Bifrose.C und ned .RR!


    Was das is wusste ich ja, die Frage war mehr, was er macht.

    War dumm ausgedrückt
     
  4. 3. Juni 2006
    Bifrose.rr ist dann wohl irgendeine Modifikation von Bifrose.c (u.ä)

    Dürfte sich wohl um den (vor einiger Zeit recht populären) Trojaner Bifrost handeln.

    Bemüh einfach mal Google.


    //Edit: Falls ich damit richtig liege, hat jemand Remotezugriff auf deinen PC - sprich: man kann nicht sagen welcher Schaden verursacht wird.
     
  5. 3. Juni 2006
    Hmm..
    Wo kann ich den her haben, gute Frage.
    Bestimt von soner Ami Seite.
    Ich hoffe mal, dass ich für den ned weiter interessant bin, weil bei mir eh nix zu finden ist.
    Höchsetns n paar PWs, aber da alle noch gehen...
    Naja, die Amis sind ja eh in ner anderen Zeitzone, wenn es bei denen tag is, hab ich meinen PC eh aus.

    Naja, HiJack this hat auch nix mehr gefunden, ich glaub ich hab den Dreck weg bekommen.
    THX!
    Aber n paar Infos mehr wären ned schlecht!
     
  6. 3. Juni 2006
    Pauschal kann man keine Infos geben, da im Builder der Pfad für Dateinamen und Namen des Autostart-Regkeys frei gewählt werden kann. Das einzige was man sagen kann: die Chance ist ziemlich hoch, dass die infizierten Dateien im System32-Verzeichnis liegen. Bleibt nur zu hoffen, dass keine weiteren Hintertüren geöffnet wurden.

    Ich formatiere nach Trojanerbefall eig. immer (kam zum Glück ewig nicht mehr vor).
     
  7. 4. Juni 2006
    http://www.viruslist.com/de/search?VN=Backdoor.Win32.Bifrose.rr
    Des Problem is hat, das es zu dem Ding noch keine Infos gibt...

    Einen Text finden: "Backdoor.Win32.Bifrose."
    Gefunden: 488
    488 Versionen von dem und nirgends ne Beschreibung :S

    Der z.B.
     
  8. 4. Juni 2006
    Ist es besser zu formatieren, oder was ratet ihr mir?
    Ich hab jet Antivir, Kaspersky, Norton, Adaware drüber laufen lassen, und immer findet er was unterschiedliches, mit dieser komische Signatur
     
  9. 4. Juni 2006
    wenn der trojaner aktiv wär, wär dein acc schon längst in anderen händen. ansonsten bist wohl höchstens mitglied eines zombie netzwerks
     
  10. 4. Juni 2006
    Meinst du, ich hab mir den hier geholt?
    Kann ich ned irgentwei nachschauen, zu wem der Trojaner verbunden ist/zu wem er was schickt?
     
  11. 4. Juni 2006
    das wär zu einfach, weil trojaner wollen ja ned entdeckt werden, das ist nämlich der sinn der sache. dazu zählt auch verstecken der nach außen oder innen gehenden vebindungen. gibt zwar paar programme die so verbindungen und versteckte prozesse blablabla teilweise finden, aber auch ned immer. vielleicht hilft auch n einfaches netstat -a zum finden von offenen ports oder verbindungen.
    ansonsten per hijackthis mal nachprüfen, was auf deinem maschinle so abgeht.
     
  12. 4. Juni 2006
    mit CFos Speed kannse in der Verbindungsübersicht sehen wohin du verbunden wirst. Allerdings wird dir das wenig bringen da du ganz sicher zu einer dynamischen IP wie xxxx.no-ip.com oder wie auch immer verbunden wirst.
     
  13. 4. Juni 2006
    das .RR macht mich etwas stutzig Könnte nen modifizierter PassSniffer für hier sein oder so nen Müll ^^ Tu mal kein PW eingeben hier bei RR am besten erstmal


    greetz
     
  14. 4. Juni 2006
    Hab das eh als Cocki
    Das .RR hat mich auch etwas beschäftigt...
     
  15. 4. Juni 2006
    Ob er sie nun eingibt, oder ob sie aus Firefox/Opera/IE... ausgelesen werden, bleibt sich rel. gleich.

    Ich würde den Rechner schnellstmöglich vom Inet trennen, alles nötige sichern und dann formatieren (zumindest die Systempartition).
     
  16. 4. Juni 2006
    So wie ich das sehe isses Zufall. Genauso wie die paar Hundert anderen Bezeichnungen, die man hier so findet:
    http://www.viruslist.com/de/find?search_mode=full&words=Backdoor.Win32.Bifrose&x=14&y=10

    Kannst vllt mal mit dem Tool Activ Ports nach offenen Ports und Verbindungen gucken.
    Active Ports dl oder dort: http://www.tecchannel.de/server/windows/401217/index17.html
    Damit kannst die dazugehörigen Prozesse auch gleich killen...

    Oder tcpview ist auch ganz nett

    Vllt reicht auch schon netstat -a in ner cmd console wie Crack schon gesagt hat
     
  17. 4. Juni 2006
    Also ich blick bei dem Prog ned so ganz durch, was noraml ist/nicht normal ist.


    IST ES BESSER ZU FORMATIEREN?
     
  18. 4. Juni 2006
    Das ganze sieht wie folgt aus:

    1. BDS/Bifrose.RR ist ein normaler Bifrost Trojaner, Bifrost hat Reverse-Connection was heisst das der Server zum Client verbindet.

    2. Es ist sicherer zu formatieren weil du nicht weisst was derjenige der den Trojaner kontrolliert noch so alles installiert hat, evtl. hat er ja noch andere Trojaner oder was anderes schädliches installiert.

    3. Alles weitere wurde schon oben besprochen.

    Greetz D34L3R
     
  19. 4. Juni 2006
    Was kann der Client alles machen /sehen?
     
  20. 4. Juni 2006
    Ich kopiere dir einfach mal die Funktionen aus der originalen Readme der Version 1.1.02:
    Code:
    
    Getting Started
    ---------------
    The main idea is to create a server without the plugin, in order to make it small (20 kb).
    Without the plugin, Bifrost will have the basic functions:
    File Manager
    File Search
    Process List
    Screen Capture with basic compression
    System Info
    Windows List.
    
    If you then chose to upload the plugin, the following functions will also be available:
    Cam Capture
    Offline/Online Keylogger
    Password List (protected storage, cached passwords, icq, cd keys)
    Screen Capture with better compression
    Screen Capture with jpg option
    Remote Shell
    
    You can see if the plugin has been uploaded by looking in the "P" column in the main window.
    The "C" column will tell you if there is a webcam installed in the remote computer.
    
    Greetz D34L3R
     
  21. 4. Juni 2006
    Hmm....


    Naja, da ja alles eigentlich noch funzt, wie das RR Pw denke ich mla, ich hab Glück gehabt,und ich hab das ja auch alles scannen und deleten lassen.
    Besteht noch die möglichkeit, dass da noch reste da sind, die jemand noch benutzen könnte=
     
  22. 4. Juni 2006
    Hast Du mal mit Active Ports oder tcpview geguckt ob was nach draussen geht?

    Ansonsten installier ne Firewall, dann kannste ausgehende Verbindungen blocken lassen... Is nen Anfang
     
  23. 4. Juni 2006
    Hab ja geschireben, ich weiss ja ned, was so normal ist, un was nicht.
    Firewall is auch drauf.
    Ist es eigetnlich normal , dass wenn man den PC startet, nachdem zuvor die Firewall installiert wurde, diese fargt, ob firfox ins Internet darf, auch wenn man ihn ned gestartet hat?
     
  24. 4. Juni 2006
    Na dann mach mal Screen oder Googel danach...

    Entweder nen Browserhijacker oder der sucht nach Updates... Ersteres findest über hijackthis raus, zweites kannste lassen oder ausschalten
     
  25. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.