backdoor Bifrost

[ania]

Ciao , premetto che mi dispiace di avere aperto un nuovo thread , e se ho sbagliato sezione chiedo scusa al Mod, ho avuto il dubbio se postare nel thread "aiuto sono infetto", poi però, ho anche avuto il dubbio se effettivamente io sia infetta, quindi eccomi qua.
Prima di postare ho provato a guardare se sul mio problema potevo riuscire a reperire qualche info qui sul forum, ma i risultati della mia ricerca sono stati piuttosto deludenti ( nulla.)
Vengo ai fatti: ho scaricato il programma Pest Patrol
http://www.pestpatrol.com/
e l’ho installato nella sua versione free, dopo uno scan mi ha segnalato eMule, Flashget ,e Bifrost, mi sembra di avere capito che i programmi di files sharing (emule per es) li classifica di default come pericolosi e li segnala, Flasget lo classifica come come un BHO (browser helper object) e segnala pure quello, , e mentre per quanto concerne eMule e FlashGet ho pensato di soprassedere, mi ha incuriosita la voce Bifrost, che da quanto ho capito, classifica come una BACKDOOR, o almeno è questo che ho letto nella pagina web alla quale reindirizza Pest Patrol se clicco sulla voce "bifrost" che ha trovato durante lo scan.

Se clicco sulla voce Bifrost individuata nello scan mi viene data inoltre la seguente localizzazione:
Key: hkey_local_machine \software\microsoft\windows\currentversion\uninstall\xvid

Ho fatto una ricerca con Google, ed ho trovato una pagina interessante che vi linko.
http://www.ilsoftware.it/av.asp?ID=241

si leggono tutti i possibili alias della backdoor Bifrost, e cioè :
W32/Bifrose.D-bdr
Alias: Backdoor/Bifrose.d, BackDoor-CEP, BackDoor-CKA, Bck/Bifrose.J, BDS/Bifrose.d.3, Bifrose.D, Troj/Bckdr-CKA, Trojan.Bifrose.D, Trojan.Bifrose-20, Trojan.Bifrose-4, W32/Bifrose.D-bdr, W32/Bifrost.AE@bd, Win32/Bifrose, Win32/Bifrost.72389!Trojan, Win32:Trojan-gen., Bifrose.E, Backdoor.Bifrose, BackDoor.Bifrose.AA, Backdoor.Bifrose.D, Backdoor.Bifrose.d, BackDoor.Bifrost, Backdoor.Win32.Bifrose.d, Backdoor.Win32.Bifrose.D

E poi, si suggerisce come sbarazzarsene.

Io ho seguito alla lettera tutto il percorso, ma non ho trovato nulla di quanto mi sarei aspettata di trovare.

Inoltre ho fatto scansioni in modalità finora normale, con tutti i sw in mio possesso: Panda AV, ad-aware, spybot S&D, AVG anti spyware, a-squared 2 free, superantispyware che non hanno rilevato nulla.

Mi piacerebbe ricevere un consiglio da qualcuno di più esperto di me, ( l’intero forum ), io avrei la tentazione di disinstallare il programma che ha inserito la chiave di registro segnalata da Pest Patron.

Cosa ne dite?
Grazie mille a tutti coloro che mi suggeriranno qualcosa.

[lucas84]

Ciao,controlla in installazioni applicazione se c'è la voce XVID,quella chiave,fa riferimento alla lista dei programmi installati

Ciao

[ania]

Quote:

Originariamente inviato da lucas84

controlla in installazioni applicazione se c'è la voce XVID,quella chiave,fa riferimento alla lista dei programmi installati

Ciao Gianluca, mio angelo custode
in installazione applicazioni ho la voce : XviD Video Codec 24062003-1 (Koepi's developer build)

Ed in C \Programmi ho la cartella XviD ed all'interno della cartella XviD, ho naturalmente anche il file UninstXviD.

La tentazione cui alludevo nel mio post precedente era quella di eseguire il file UninstXviD perchè così facendo avevo pensato di disinstallare il programma, però, ora mi viene un dubbio, se è quello il file infetto, andandolo ad eseguire, faccio una cavolata galattica???

ciao e come sempre grazie infinite

[lucas84]

sai arrivare fino a quella voce nel registro di sistema?se si,arrivaci clicca sulla cartellina xvid(senza altre lettere)nel pannello di destra,dovresti vedere le voci InstallLocation,UninstallString riporta i valori delle 2 voci(anche una va bene)

Ciao

[c.m.g]

non tutti sanno che con l'installazione di alcuni codec tipo divx e xvid(in versione gratuita) al loro interno nascondono degli spyware direi abbastanza innocui. se questo desse fastidio si può sempre disinstallare e metterne uno a pagamento.
non so comunque se questo ha attinenza con questa discussione ma sappiate che spesso i codec scaricati da emule nascondono al loro interno malware, quindi è da preferire quelli scaricati dai rispettivi siti ufficiali.
altra cosa da dire è che alcuni programmi, tipo emule, sono classificati come pericolosi in quanto se non impostato bene il firewall possono essere fonte di guai (lo stesso kasper ad esempio li cita come riskware invader ).
dopo aver fatto questa premessa agisci di conseguenza.


saluti

c.m.g

[ania]

Quote:

Originariamente inviato da lucas84

sai arrivare fino a quella voce nel registro di sistema?

Ehm , brancolando nel buio e procedendo a tentoni , avrei trovato in :
HKEY_CURRENT_USERS\Software\ XviD MPEG4 Codec

Quote:

se si,arrivaci clicca sulla cartellina xvid(senza altre lettere)

purtroppo non ho trovato la cartellina XviD , ma appunto la cartella XviD MPEG4 Codec, quindi temo che non sia la cartellina che tu volevi suggerirmi di cercare.

Comunque, nel pannello di dx , leggo
Nomeab (Predefinito) Tipo REG_SZ Dati (valore non impostato)


Nomeab Install_Dir Tipo REG_SZ Dati C:\Programmi XviD

Se pensi di avere il tempo di guidarmi, io eseguo gli ordini

ciao e grazie

[lucas84]

Quote:

altra cosa da dire è che alcuni programmi, tipo emule, sono classificati come pericoloso in quanto se non impostato bene il firewall possono essere fonte di guai

I programmi peer to peer vengono classificati come potenzialmente pericolosi perchè possibili veicoli di infezioni,non centra niente il firewall

[lucas84]

Ania,forse il programma ha eliminato quella chiave,riesegui una scansione quando hai tempo e vedi se la voce viene ancora segnalata,per i codec,ti consiglio l'installazione del pacchetto K-Lite Codec Pack http://www.k-litecodecpack.com/

Ciao

[c.m.g]

Quote:

Originariamente inviato da lucas84

I programmi peer to peer vengono classificati come potenzialmente pericolosi perchè possibili veicoli di infezioni,non centra niente il firewall

certo anche per quello ma non pensare che sia cosa impossibile camuffare una connessione malevola con una del kad.
quindo anche il firewall centra e come

[Gianky....! :D :)]

in caso quel file infetto da questa backdoor prova a farlo analizzare qui .
Ciao e Buon 2007

[lucas84]

mi conviene darti ragione altrimenti non si finisce più

Ciao

[c.m.g]

Quote:

Originariamente inviato da lucas84

mi conviene darti ragione altrimenti non si finisce più

Ciao

senti: se per te il firewall nn centra nulla perchè si impostano i parametri per emule nei firewall?
te lo dico io: proprio per evitare attacchi. poi puoi anche rimanere delle tue convinzioni.

[ania]

Quote:

Originariamente inviato da lucas84

Ania,forse il programma ha eliminato quella chiave,riesegui una scansione quando hai tempo e vedi se la voce viene ancora segnalata,per i codec,ti consiglio l'installazione del pacchetto K-Lite Codec Pack http://www.k-litecodecpack.com/

La scansione con Pest Patrol è estremamente veloce e mi segnala sempre la medesima voce "Bifrost" con la medesima localizzazione
Key: hkey_local_machine \software\microsoft\windows\currentversion\uninstall\xvid

OK , sono un' imbranata integrale finalmente ho capito, (spero) ed
ho trovato la cartella XviD (nel registro di sistema) che mi dicevi, d'altra parte me l'aveva indicata Pest Patrlol.
Ho cioè seguito la localizzazione del file individuato da Pest Patrol
Quindi ora ho i valori di registro che mi chiedevi prima in relazione alla cartella XviD:

ab(Predefinito) REG_SZ (valore non impostato)

abDisplayName REG_SZ XviD Video Codec 244062003-1 (Koepi's developer build)

ab UninstallString REG_SZ "C:\Programmi\XviD\UninstXviD.exe"

Cosa mi suggerisci ?

grazie ancora

[lucas84]

Quote:

Originariamente inviato da c.m.g

senti: se per te il firewall nn centra nulla perchè si impostano i parametri per emule nei firewall?
te lo dico io: proprio per evitare attacchi. poi puoi anche rimanere delle tue convinzioni.

Si centra il firewall,ciao

[lucas84]

Ania,disinstalla quell'applicazione ed installa il pacchetto di codec che ti ho indicato prima

Ciao

[ania]

+

[Gianky....! :D :)]

cmq cercando su google ho visto ke altre persone hanno il tuop stesso problema...
Quindi disinstalla il codec ed installane un altro...(lucas84)
Ciao

[ania]

+

[lucas84]

Da installazioni applicazioni,riavvia finita la disinstallazione ed elimina manualmente la cartella(se non è stata eliminata)

Ciao

[ania]

+