Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 14399 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

BACKDOOR superspy 2.0

razzel
The IPS log tells me that one pc on my network is trying to connect to another pc on the Internet: 

2007:07:23-21:42:06 (none) barnyard[5048]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BACKDOOR superspy 2.0 beta runtime detection - file management" group="510" srcip="192.168.2.***" dstip="80.239.233.***" proto="6" srcport="1930" dstport="3724" sid="8477" class="A Network Trojan was detected" priority="1"  generator="1" msgid="0"

What should I make of this? I have tried several antivirus scanners, bot none of the can find this little monster.


This thread was automatically locked due to age.
  • 0 in reply to SilverOne
    Thnks SilverOne.

    Got it...

    I'm not sure if it's meant to be, but the Notify sticks to "off".
    Even changing it to "on", after saving, it goes back to "off".
  • 0 in reply to Goldy_01
    Goldy,

    Until now i couldn't find why this behaviour works that way? Strange....
    maybe somebody else???
  • 0 in reply to SilverOne
    Hi.

    I have added a rule in the Network Security » Intrusion Protection » Advanced, to "drop" the superspy (2101 Action: Drop, Notify off).

    No successes.  I'm still getting "The packet has *not* been dropped"

    Here is the log :
    /var/log/ips.log:2007:08:20-16:30:12 (none) barnyard[23967]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BACKDOOR superspy 2.0 beta runtime detection - file management" group="510" srcip="10.2.1.220" dstip="85.29.233.238" proto="6" srcport="3783" dstport="34174" sid="8477" class="A Network Trojan was detected" priority="1" generator="1" msgid="0"

    Any Idea?
  • 0 in reply to Goldy_01
    Goldy, I've had problems with the IPS not disabling rules as it is supposed to as well, I've started a ticket; they blame the issue on bad sourcefire rules --- I think it goes deeper than that.  I have not gotten an update on the case in quite some time, i'll check on it.  If you have maintenance, I'd suggest opening a case, as they say, the squeeky wheel gets the grease...
  • 0 in reply to BrucekConvergent
    I see this a lot when there's a bittorrent client downloading - looks like some others in this thread are seeing that too (port 6881) - could it be legitimate bittorrent traffic triggering a false positive on this rule?
  • 0 in reply to Goldy_01
    Hi.
    I have Found the reason why it didn't work in the first time.
    As you can see, there are two numbers in the log: ID and SID.
    The right number to put in the Network Security » Intrusion Protection » Advanced - "Manual rule modification" should be the "SID".
    After I put the right number it seems to work just fine, and blocking the Superspy.
     I still can't change the "Disable notifications" attribute.

    Here is the log :
    /var/log/ips.log:2007:08:20-16:30:12 (none) barnyard[23967]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BACKDOOR superspy 2.0 beta runtime detection - file management" group="510" srcip="10.2.1.220" dstip="85.29.233.238" proto="6" srcport="3783" dstport="34174" sid="8477" class="A Network Trojan was detected" priority="1" generator="1" msgid="0"