Strange IPS detection

I agree.  If it was an infection, then it would have recurred.  Even though snort.org doesn't indicate the existence of any false positives doesn't mean there aren't some.  It would be lucky if you happened to be logging the allow rule in the packet filter log when that went trhrough - did it?

When I was setting my iPhone up with my Exchange server, I saw some funky warnings.  Were you configuring anything at the time?

Info you probably already have.

Jim

GEN:SID    1:6032
Message  DELETED BACKDOOR fkwp 2.0 runtime detection - conn success-cts
Summary  This event does not have documentation. Please help fill it out.
Impact   
Detailed Information   
Affected Systems   
Attack Scenarios   
Ease of Attack   
False Positives  None known at this time. If you think this rule has a false positives, please help fill it out.
False Negatives  None known at this time. If you think this rule has a false negatives, please help fill it out.
Corrective Action   
Contributors  Unknown
Additional References   
Rule References  Error: Unknown reference type: url,FKWP 1.5 Info

FKWP 2.0
Date Published:
Monday, May 5, 2008
Threat Assessment
Overall Risk: Critical
Privacy: Critical
Productivity:
System Integrity: Low
Characteristics

Category : Key Logger

Also known as:  Win32/HolLol.A [CA AV], Backdoor.Win32.BlueEye.c [Kaspersky], Backdoor.Trojan [Symantec], BackDoor-CJL [McAfee], W32/BlueEye.C@bd [F-Prot], W32/BlueEye.B [NORMAN], Troj/BluEye-B [Sophos]

I'll check my logs again maybe I get some more information.

At the moment I'm using my laptop. Here I'm sure that my laptop is NOT infected, I'd rebuild two or three weeks ago and used it untill now only a few times.

Thanks Jim,

I've this information already. So it seems that Symantec should know this Trojan, but couldn't find anything .. 

Maybe it's a good sign and I'm only a lil bit paranoid [:D] ...

However will check again and come back with or without results ..

But what I still don't understand is, why my astaro initiated the connection!


Thanks to all and have a nice day !


cheers

Hey there,

I'd Wireshark my host.

So far as I had view the log I had some curious entries.

Does anybody know what "PVUNIWIEN" is? The port is DST PRT on my client was 1081 .. 

Unfortunately google doenst give much expressive results .. on one site they are talking about that this port will be used WinHole .. 

Does anybody know if Lifeupdate will try to get updates in Japan?


cheers

Hey there,

I'd Wireshark my host.

So far as I had view the log I had some curious entries.

Does anybody know what "PVUNIWIEN" is? The port is DST PRT on my client was 1081 .. 

Unfortunately google doenst give much expressive results .. on one site they are talking about that this port will be used WinHole .. 

Does anybody know if Lifeupdate will try to get updates in Japan?


cheers

have a look at this thead

seems like a trojan

Wingman I just read this post .. HijackThis was without any negative results!

Can you please post the relevant log? It may be a case that you had that trojan at some point but there are still traces on the pc

Hi Wingman

I've pointed out that it was a Trojan!

I've isolated my host to a seperate subnet, enabled for this subnet proxy with authentication and wiresharke'd my host .. after a while my virus scanner detected a trojan .. however, it's very strange that my virus scanner couldn't found that bastard before .. anyway, my host is now clean .. but as usual it's pain in the ass with a fresh installed system [[;)]] .. 

BTW, I've got some furhter information for the port 1081 "PVUNIWIEN".
I've contacted the guy who's according IANA responsible for this port.
I've asked him if he could me explain which application(s) use this port. His answer was that he or his university had written long time ago a piece of software but this as he mentioned this software isn't used in commercial or open source applications ..

The next time, if some strange will happen on port 1081 I'll know what to do [[;)]] .. 

Thanks to all and have a nice sunday!


cheers

Hi Wingman

I've pointed out that it was a Trojan!...The next time, if some strange will happen on port 1081 I'll know what to do [;)] .. 

Thanks to all and have a nice sunday!


cheers

Great Victory!

Now remember, trojans are written by people. The trojan itself is only a tool/a means to an end. A tool that can be turned around on the perp.

Did you manage to keep the logs that show to what IP addresses the the bug was calling home? You can fish through the logs, jot down the IP addresses, and at least help find and notify other infected PC around the net by notifying ISPs that some of their clients may be infected. You will need copies of the logs. You will have to be very clear when you communicate. ISPs appear at least to not really care all that much. Do not be discouraged.

The main boss of the net may be using other pcs as relay points to cover his tracks. So, if you identify some of the boxes that he owns and through the action of notifying ISPs, he or she will have to find other hosts to infect.

Back to your box...

If your box was owned by someone else, even for a short time, you may want to be extra diligent in watching for unusual traffic. I believe that root kit revealer will give you an additional indepth look into your pc. The perp may have installed other lines of code or other tools to your machine that could allow him or her to reconnect later. Stay alert.

RootkitRevealer

Be careful on what you delete. Read about everything an gain understanding. Delete only what you know will not harm your pc. If in doubt, read more.

Oh, about the port used. A trojan can use any port. Do not get too focused on any one port. There are 65535 of them. The first 1024 have traditionally been reserved for common use. Watch for abnormalities. You found this one, right?

Happy hunting,

Jim

Many people have been infected, including myself, you are in good company. Now you can become part of the solution if you so choose