Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 14382 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

BACKDOOR superspy 2.0

razzel
The IPS log tells me that one pc on my network is trying to connect to another pc on the Internet: 

2007:07:23-21:42:06 (none) barnyard[5048]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BACKDOOR superspy 2.0 beta runtime detection - file management" group="510" srcip="192.168.2.***" dstip="80.239.233.***" proto="6" srcport="1930" dstport="3724" sid="8477" class="A Network Trojan was detected" priority="1"  generator="1" msgid="0"

What should I make of this? I have tried several antivirus scanners, bot none of the can find this little monster.


This thread was automatically locked due to age.
Parents
  • 0
    Try wireshark or another analyzer and see what the PC is doing.

    Barry
  • 0 in reply to BarryG
    I get that message in my daily reports about once a fortnight and always from the same user. It only happens once or twice so it is very hard to lay a trap to catch it.

    Ian M
  • 0 in reply to Goldy_01
    Hi All,

    1) I also often see backdoor rules detected on my system.
        After doing a lot of test, I found that if you have Client Security such as F-Secure Client Security in my case which also have its own POP3 Virus Scanning feature, sometime these communication can cause IPS Backdoor alerts.

    2) The IPS Rules default is warn only. You need to configure to drop.
        Personally I configure to Drop everything and seeing which breaks  then I disable those rules.
  • 0 in reply to Alvin
    I am affected by the following and I can download my pop3 mails if I disable my f-secure client security e-mail scanning.

    But I rather disable these rules and enable the e-mail scanning on f-secure.

    I am sure the system is not compromised as I rebuilded a machine and this occurs.

    It does Not occur with each and every send and receive.

    BACKDOOR fkwp 2.0 runtime detection - connection success - ID 6033


    BACKDOOR fkwp 2.0 runtime detection - connection attempt server-to-client - ID 6031

    BACKDOOR superspy 2.0 beta runtime detection - file management - ID 8477
  • 0 in reply to Alvin
    Hi All,

    1)  I found that if you have Client Security such as F-Secure Client Security in my case which also have its own POP3 Virus Scanning feature, sometime these communication can cause IPS Backdoor alerts.

    2) The IPS Rules default is warn only. You need to configure to drop.
        Personally I configure to Drop everything and seeing which breaks  then I disable those rules.


    1. I have about 400 stations with KAV.
    If it would be the reason for Supper spy,  i woul expect to see more of this behavior.

    2. I couldn't find where to "Drop" the Superspy. [:S] 
    Network Security » Intrusion Protection-Attack pattern set to drop (I don't use all of them).  Port scan - Drop
    Here is the log:
    /var/log/ips.log:2007:08:17-18:33:13 (none) barnyard[6163]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BACKDOOR superspy 2.0 beta runtime detection - file management" group="510" srcip="10.2.4.240" dstip="84.246.93.184" proto="6" srcport="1074" dstport="6881" sid="8477" class="A Network Trojan was detected" priority="1" generator="1" msgid="0"
  • 0 in reply to Goldy_01
    Goldy,

    Go to network security/Intrusion Protection/Advanced. Click the Question symbol on top off your Astaro screen for Help.
    Look for advanced:
    Look-up the following sentence:
    Rule ID: Enter the ID of the rule you want to modify. To look up the rule ID, go to the list of IPS rules at the Astaro Web site (available both in HTML and XML format). In addition, they can either be determined from the IPS log or the IPS report.
    Select one of the Links, then you can search for "backdoor superspy 2.0" with CtrL/F and find the ID-number!
    Under advanced settings you can make Manual rule modification
  • 0 in reply to SilverOne
    Thnks SilverOne.

    Got it...

    I'm not sure if it's meant to be, but the Notify sticks to "off".
    Even changing it to "on", after saving, it goes back to "off".
  • 0 in reply to Goldy_01
    Goldy,

    Until now i couldn't find why this behaviour works that way? Strange....
    maybe somebody else???
  • 0 in reply to SilverOne
    Hi.

    I have added a rule in the Network Security » Intrusion Protection » Advanced, to "drop" the superspy (2101 Action: Drop, Notify off).

    No successes.  I'm still getting "The packet has *not* been dropped"

    Here is the log :
    /var/log/ips.log:2007:08:20-16:30:12 (none) barnyard[23967]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BACKDOOR superspy 2.0 beta runtime detection - file management" group="510" srcip="10.2.1.220" dstip="85.29.233.238" proto="6" srcport="3783" dstport="34174" sid="8477" class="A Network Trojan was detected" priority="1" generator="1" msgid="0"

    Any Idea?
  • 0 in reply to Goldy_01
    Goldy, I've had problems with the IPS not disabling rules as it is supposed to as well, I've started a ticket; they blame the issue on bad sourcefire rules --- I think it goes deeper than that.  I have not gotten an update on the case in quite some time, i'll check on it.  If you have maintenance, I'd suggest opening a case, as they say, the squeeky wheel gets the grease...
  • 0 in reply to BrucekConvergent
    I see this a lot when there's a bittorrent client downloading - looks like some others in this thread are seeing that too (port 6881) - could it be legitimate bittorrent traffic triggering a false positive on this rule?
  • 0 in reply to Goldy_01
    Hi.
    I have Found the reason why it didn't work in the first time.
    As you can see, there are two numbers in the log: ID and SID.
    The right number to put in the Network Security » Intrusion Protection » Advanced - "Manual rule modification" should be the "SID".
    After I put the right number it seems to work just fine, and blocking the Superspy.
     I still can't change the "Disable notifications" attribute.

    Here is the log :
    /var/log/ips.log:2007:08:20-16:30:12 (none) barnyard[23967]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BACKDOOR superspy 2.0 beta runtime detection - file management" group="510" srcip="10.2.1.220" dstip="85.29.233.238" proto="6" srcport="3783" dstport="34174" sid="8477" class="A Network Trojan was detected" priority="1" generator="1" msgid="0"
Reply
  • 0 in reply to Goldy_01
    Hi.
    I have Found the reason why it didn't work in the first time.
    As you can see, there are two numbers in the log: ID and SID.
    The right number to put in the Network Security » Intrusion Protection » Advanced - "Manual rule modification" should be the "SID".
    After I put the right number it seems to work just fine, and blocking the Superspy.
     I still can't change the "Disable notifications" attribute.

    Here is the log :
    /var/log/ips.log:2007:08:20-16:30:12 (none) barnyard[23967]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BACKDOOR superspy 2.0 beta runtime detection - file management" group="510" srcip="10.2.1.220" dstip="85.29.233.238" proto="6" srcport="3783" dstport="34174" sid="8477" class="A Network Trojan was detected" priority="1" generator="1" msgid="0"
Children
No Data