Kurz mal durch einen Onlinescanner gejagt.
Kaspersky 7.0.0.125 2008.11.15 Backdoor.Win32.Bifrose.yhb
F-Secure 8.0.14332.0 2008.11.15 Backdoor.Win32.Bifrose.yhb
AhnLab-V3 2008.11.14.3 2008.11.14 Win-Trojan/Bifrose.323584
Ewido 4.0 2008.11.15 Backdoor.Bifrose.yhb
Ikarus T3.1.1.45.0 2008.11.15 Backdoor.Win32.Bifrose
ViRobot 2008.11.15.1470 2008.11.15 Backdoor.Win32.Bifrose.298988
Noch Fragen? -.-
Zitat:
Bei Bifrose handelt es sich um ein getarntes Schleusenprogramm, mit dem der Fernzugriff auf einen infizierten Rechner möglich ist. Normalerweise wird es von einem Trojaner-Dropper auf dem System installiert.
Detaillierte Beschreibung
Installation auf dem System
Bei seiner Ausführung kopiert das Schleusenprogramm seine Datei unter dem Namen 'syspare.exe' in das Verzeichnis %SysDir%. Anschließend installiert es folgende Registrierungsschlüssel, um sicherzustellen, dass die Datei beim nächsten Systemstart ausgeführt wird:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"syspare.exe" = "syspare.exe"
[HKLM\Software\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}]
"stubpath.exe" = "syspare.exe"
Zudem erstellt das Schleusenprogramm zur Datenspeicherung folgenden Registrierungsschlüssel:
[HKLM\Software\Wget]
Schleusenprogramm
Nach der Installation versucht Bifrose, einen laufenden Webbrowser zu finden und ihn mit seinem Code zu infizieren. Dieser injizierte Code ist das eigentliche Schleusenprogramm. Bifrose beginnt mit der Serverkomponente über speziell erstellte HTTP-Anfragen zu kommunizieren. Der Server kann das Schleusenprogramm anweisen, folgende Aktionen auszuführen:
Grundlegende Dateioperationen (Kopieren, Löschen, Umbenennen, Suchen, Ausführen)
Download/Upload von Dateien
Prozessoperationen (Liste, Abbrechen)
Operationen in der Registrierung (Erstellen/Löschen von Schlüsseln/Werten)
Erstellen von Desktop-Screenshots
AW: WoW-Cursors 
