Telekom Abuse Team - generic Trojaner/Virus

lawson · 20.02.2015, 07:46

Hallo iceweasel,

das hat mir die Telekom geantwortet, als ich um Details zu dem Befall fragte

...,

vielen Dank, dass Sie sich an uns gewendet haben. Folgendes können wir
Ihnen zu den beschwerdegegenständlichen Vorgängen mitteilen.

So wurde die Schadsoftware entdeckt
-----------------------------------

Über Ihren Internetzugang wurde ein "Sinkhole" kontaktiert. Das ist ein
Server, der als Falle für durch Schadsoftware befallene Rechner dient,
indem er einen Command&Control-Server eines Botnets simuliert. Ein
Command&Control-Server ist ein Bestandteil eines Botnets, der zwischen
dem eigentlichen Verbrecher und seinen "Bots" vermittelt. Unter
hxxp://www.elektronik-kompendium.de/sites/net/1501041.htm finden Sie bei
Interesse eine gute Erklärung der Struktur eines Botnets sowie eine
schematische Darstellung.

Bei den beschwerdegegenständlichen Zugriffen handelt es sich nicht um
den Versand von E-Mails. Die Steuerung der Bots erfolgt über die Ports
80 (HTTP) und 443 (HTTPS), das ist die übliche Vorgehensweise der
Botnetzbetreiber, da es keine Internetzugänge gibt, bei denen diese
Ports gesperrt sind. Per HTTP(S) aktualisieren sich die Bots, liefern
gestohlene Login-Daten ab und holen sich ihre Aufgabenlisten ab: An
DoS-Attacken teilnehmen, rechtswidrige Inhalte verbreiten, Spam
versenden, usw.

Informationen zum detektierten Schädling
----------------------------------------

Leider liegen uns keine spezifischen Informationen dazu vor, welche
Schadsoftware für den Zugriff verantwortlich ist.

Aus den bisherigen Rückmeldungen anderer Kunden können wir (abgesehen
von den üblichen 'verseuchten' Windows-Rechnern) darauf schließen, dass
auch folgende Geräteklassen in Frage kommen:

- Geräte mit einer Android-Version < 4.4 (Elf Sicherheitslücken in
Systemkomponente WebView, die nicht gefixt werden, siehe
hxxp://ct.de/-2528130)

- Spezielle Geräte mit meist unixoiden OS, die einen Webserver
beinhalten. Die darauf installierte Software wird oft nicht gepflegt,
sodass veraltete Installationen (CMS, PHP, SQL, Apache, Bash, ntpd)
vorliegen, die Sicherheitslücken beinhalten. Sind diese Geräte von
außen erreichbar, kann man davon ausgehen, dass diese auch früher
oder später gefunden und missbraucht werden. In erster Linie betrifft
dies NAS (Netzwerkspeichersystem), aber auch IP-Kameras oder anderes
wären denkbar.

- Von außen erreichbare Server oder Gateways mit unixoiden OS
(betrifft insbesondere Linux und Mac OS)

Die beschwerdegegenständlichen Zugriffe fanden über die folgenden, Ihrem
Zugang zugewiesenen IP-Adressen zu den angegebenen Zeitpunkten statt,
die relevanten Zeitangaben aus den Beschwerden haben wir in die
jeweilige deutsche Zeitzone (MESZ/MEZ) umgerechnet:

| 93.193.xxx.xxx Fr, 06.02.2015 14:57:16 MEZ
| 93.193.xxx.xxx So, 08.02.2015 11:57:29 MEZ
| 93.193.xxx.xxx Di, 10.02.2015 18:03:13 MEZ

Mögliche Ursache: Fremdnutzung des lokalen Netzwerks
----------------------------------------------------

Beziehen Sie bei Ihren Überlegungen mit ein, dass das Problem durch
einen Dritten verursacht worden sein könnte: Wenn zu dem jeweils
genannten Zeitpunkt ein Gast berechtigten Zugang zu Ihrem WLAN/LAN (und
damit Ihrem Internetzugang) hatte, kann es natürlich sein, dass die
Aktion die zu der Beschwerde führte, von seinem Rechner ausging. Eltern
sollten hierbei insbesondere auch etwaigen Besuch der Kinder "auf dem
Radar" haben.

Besonders wenn der Zugang von einer Firma benutzt wird, kalkulieren
Sie bitte auch etwaige mitgebrachte Rechner von Mitarbeitern oder
gar Kunden ein. Auch Rechner von Mitarbeitern, die über ein VPN in
Ihr lokales Netzwerk gelangen, könnten die Beschwerden verursachen.

Oder Sie betreiben ein WLAN und dieses ist womöglich nicht oder nur
unzureichend gesichert. Ein offenes WLAN kann durch Nachbarn auch völlig
unabsichtlich mitbenutzt werden, da sich Windows gern das nächstbeste
WLAN "greift", zu dem es eine Verbindung aufbauen kann. Es ist erforder-
lich, das WLAN mindestens mit dem Verschlüsselungsverfahren WPA, besser
WPA2, zu sichern (WEP ist unsicher!). Auch der Zugang zur Router-
konfiguration muss mit einem Passwort gesichert werden.

Bitte nicht vorschnell abwehren, dass dies nicht sein könne, etwa
weil Sie genau wüssten, dass Sie das Funknetz bestens abgesichert
hätten. Das glaubten wir Ihnen durchaus, aber auch WLAN-Router sind
letztlich nur dumme, fehlerbehaftete Maschinen, die gelegentlich
abstürzen, sich aufhängen oder einen plötzlichen Neustart hinlegen.
Im letzteren Fall kann es passieren, dass die Werkseinstellungen
geladen werden und zumindest bei älteren Modellen wird das WLAN dann
"offen" betrieben. Da auch die meisten Betriebssysteme nach dem
Motto "Hauptsache, es funktioniert" äußerst benutzerfreundlich
agieren, nehmen diese die unverschlüsselte Verbindung ohne zu Murren
(also ohne Hinweis an den Benutzer) an.

Andere geben an, kein WLAN zu benutzen und diese Funktion auch
explizit in Ihrem WLAN-fähigen Endgerät deaktiviert zu haben.
Schauen Sie dennoch besser einmal nach. Viele WLAN-DSL-Router haben
am Gehäuse einen Taster, mit dem man das WLAN ein- und ausschalten
kann. Insbesondere kann man es versehentlich einschalten. Wenn man
das WLAN nicht eingerichtet hat, weil man es selbst nicht benötigt,
dann ist es zumindest bei älteren Geräten automatisch "offen", also
für jedermann in Funkreichweite nutzbar.

Allgemeine Ratschläge zur Bereinigung des befallenen Rechners
-------------------------------------------------------------

Zuallererst müssen die Schädlinge entfernt werden. Um die Chance zu
erhöhen, auch weniger verbreitete Manipulationen zu finden, empfehlen
wir einige kostenlose Anwendungen. Diese müssen zwar nicht alle
verwendet werden, man sollte jedoch fortfahren, bis das Problem gefunden
und beseitigt wurde. Dabei muss man beachten, dass einige Schädlinge den
Aufruf und Download sicherheitsrelevanter Seiten und Tools aktiv
blockieren können, so dass der Download dann von einem anderen Rechner
aus, nötigenfalls bei einem Bekannten, erfolgen sollte.

Zusätzlich zu üblichen Virenscannern kann auch das 'Tool zum Entfernen
bösartiger Software' von Microsoft geladen und ausgeführt werden. Unter
hxxp://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx
bietet Microsoft diese Software zum Download an.

Deutschsprachig und auch recht einfach in der Anwendung sind die beiden
Varianten des EU-Cleaner, die unter https://www.botfrei.de zu finden
sind. Wichtig: Bitte unbedingt die Hinweise zu den Anwendungen auf der
Seite lesen und vor der Benutzung auch die Anleitung herunterladen!

Zum Einsatz auf bereits infizierten Systemen sind auch die folgenden
beiden Anwendungen besonders geeignet:

Malwarebytes Anti-Malware (Free Version) hxxp://de.malwarebytes.org/
Wichtig: Da Malwarebytes auch einen Virenwächter installiert, der dem
Virenwächter einer bereits installierten Schutzsoftware ins Gehege
kommen könnte, sollte das Programm nach der Bereinigung deinstalliert
werden!

Ein ausgewiesener Spezialist ist das kostenlos erhältliche 'Kaspersky
Virus Removal Tool', da es keinen Virenschutz zur Verfügung stellt,
sondern als Reinigungs- und Rettungssoftware fungiert. Zu finden ist
dieses unter hxxp://www.kaspersky.com/antivirus-removal-tool?form=1
(bitte wählen Sie dort die deutsche Sprachversion).

Sobald sich eine Schadsoftware auf einem Rechner 'eingenistet' hat und
diesen quasi 'beherrscht', hängt es jedoch mehr oder weniger nur noch
vom Geschick des Programmierers ab, ob eine ihm bekannte Schutzsoftware
seine Manipulationen überhaupt noch entdecken kann. Ganz besonders gilt
dies für sogenannte Boot- bzw. Rootkits, die sich selbst und weitere
Schadprogramme für das System 'unsichtbar' machen.

Das Mittel der Wahl wären dann Boot-CDs bzw. Boot-DVDs, mit denen man
den Rechner untersuchen kann, ohne dass das infizierte Betriebsystem
gestartet wird. Diese Möglichkeit bietet z.B. Avira mit der 'DE-Cleaner
Rettungssystem DVD', die unter https://www.botfrei.de/rescuecd.html zum
Download bereitgestellt wird. Wichtig: Bitte die Hinweise dort beachten
und auch die Anleitungen herunterladen!

Leider besteht jedoch nie die Gewissheit, wirklich alle Manipulationen
gefunden zu haben, so dass das System womöglich nach kurzer Zeit erneut
befallen wäre. Guten Gewissens können wir deshalb nur die vollständige
Neu-Installation des Betriebssystems empfehlen. Wichtige Informationen
und Anleitungen, die bei einer Neu-Installation beachtet werden sollten,
bietet Botfrei.de unter: https://www.botfrei.de/neuinstallation.html

Wenn Sie Ihr Sicherheitsproblem nicht selbst lösen können, raten wir
Ihnen, einen Experten bzw. eine Computerwerkstatt hinzuzuziehen.

Vermeidung einer sofortigen, erneuten Infektion
-----------------------------------------------

Damit die Schädlinge nach der Bereinigung nicht wieder auftauchen,
müssen Sie danach alle (!) Updates für das Betriebssystem und für die
von Ihnen benutzten Anwendungen einspielen und zwar BEVOR Sie auch nur
ein einziges Dokument (Insbesondere PDF-Dateien, aber auch Bilder und
Videos) öffnen oder auch nur einen einzigen USB-Datenträger daran
anschließen. Das ist nämlich auch ein üblicher Verbreitungsweg. Nicht
nur externe Festplatten und Speichersticks kommen in Frage, sondern auch
Digitalkameras und MP3-Player bzw. einfach jedes USB-Gerät mit
beschreibbaren Speicher. Denn erst mit dem Windows-Update Mitte Februar
2011 hat Microsoft diesen Weg insofern erschwert, dass der Autostart für
USB-Datenträger deaktiviert wurde.

Es wäre wirklich frustrierend, wenn man beispielsweise den Rechner in
stundenlanger Arbeit neu aufsetzt und wie zuvor einrichtet, nur um dann
feststellen zu müssen, dass man sich die Urlaubsfotos besser erst nach
dem Neustart nach den letzten Update angeschaut hätte ...

Da der Internet Explorer auch Betriebssystemsdienste zur Verfügung
stellt, sollte er auch dann aktualisiert werden, wenn er nicht zum
Browsen im Web benutzt wird.

Eine kleine FAQ zum Thema 'Schutzsoftware'
------------------------------------------

Meine Antiviren-Software hat keine Bedrohung gemeldet?

Gängige Antiviren-Software erkennt mittels herkömmlicher Methoden
(Signaturen und Heuristik) allenfalls noch 40-60% der aktuellen
Bedrohungen. Die Erkennungsraten werden durch weitere Methoden
- insbesondere dem 'Behavioral Blocking' und Reputationsdatenbanken -
verbessert, allerdings verfügt meist nur kostenpflichtige Schutzsoftware
über diese erweiterten Methoden.

Natürlich sollten die generellen Sicherheitshinweise beachtet werden,
also Popups, HTML in E-Mails, Java, Adobe Flash etc. bestenfalls
deaktivieren und nur für vertrauenswürdige Inhalte aktivieren und
niemals Inhalte (Software, Filme, Dokumente usw.) aus nicht
vertrauenswürdigen Quellen verwenden.

Woher weiß ich, ob meine Software aktuell ist?

Nicht jedes Programm auf Ihrem PC hat eine automatische Update-Funktion.
In diesem Zusammenhang möchten wir Ihnen empfehlen, sich die für
Privatanwender kostenlose Software 'Secunia Personal Software Inspector'
(Secunia PSI) anzuschauen: Sie scannt Ihre Festplatte und vergleicht die
Versionsnummern mit einer stets aktuellen Datenbank mehrerer tausend
Anwendungen. Die Software zeigt Ihnen den direkten Downloadlink gleich
mit an und unterstützt teilweise automatische Updates. Sie finden dieses
hilfreiche Werkzeug unter:
hxxp://secunia.com/vulnerability_scanning/personal/

Ist es möglich Infektionen generell zu verhindern?

Durch Zusatzsoftware kann man Rechner so konfigurieren, dass der
Anwender quasi in einem sicheren Bereich abgeschottet wird und
Änderungen dort nach Benutzung einfach gelöscht werden können. Für
Windows bietet diese Funktion bspw. das Programm 'Sandboxie':
hxxp://de.wikipedia.org/wiki/Sandboxie

Wo finde ich weitere Informationen?

Neben unseren eigenen und zahlreichen fremden Angeboten ist das
Bürger-CERT des Bundesamtes für Sicherheit in der Informationstechnik
sicherlich die beste Anlaufstelle. Das Bürger-CERT informiert und warnt
Bürger und kleine Unternehmen schnell und kompetent vor Viren, Würmern
und Sicherheitslücken in Computeranwendungen – kostenfrei und absolut
neutral. Experten analysieren rund um die Uhr die Sicherheitslage im
Internet und verschicken bei Handlungsbedarf aktuelle Warnmeldungen und
Sicherheitshinweise: hxxp://www.buerger-cert.de

Nachsorge: Zur Vermeidung weiterer Schäden alle Passwörter ändern
------------------------------------------------------------------

Nachdem Sie Ihre(n) Rechner bereinigt haben, kann weiterer Schaden durch
den Missbrauch bereits gestohlener Zugangsdaten entstehen. Daher raten
wir Ihnen, *alle* Passwörter zu ändern, vergessen Sie dabei nicht
etwaige Passwörter für Onlinebanking, eBay, Amazon & Co., falls Sie
solche Dienste nutzen. (Wichtig: Dies darf nur von einem Rechner aus
erfolgen, der garantiert "sauber" ist, sonst landen die neuen Passwörter
gleich wieder bei einem der Angreifer!)

Zu den mit unseren Diensten benötigten Passwörtern einige gesonderte
Anmerkungen und Tipps:

Ändern Sie bitte alle Passwörter im Kundencenter unter dem URL
https://kundencenter.telekom.de/kundencenter/kundendaten/passwoerter

das 'persönliches Kennwort' (für den Zugang),
das 'Passwort' (für Webdienste),
das 'E-Mail-Passwort' und
das 'FTP-Passwort' (falls eingerichtet)

Hinweis: Das persönliche Kennwort ist das Hauptpasswort. Damit können
Sie sich im E-Mail Center, Kundencenter etc. anmelden, auch wenn dafür
ein anderes Passwort eingerichtet wurde!

Das neue persönliche Kennwort tragen Sie nach der Änderung bitte auch
für den Internetzugang z. B. im Router ein:

Vergisst man, das pers. Kennwort rechtzeitig in den Router
einzutragen, würde dieser sich wiederholt mit dem nicht mehr
gültigen Kennwort einwählen, was zu einer automat. Schutzsperre bis
24 Uhr führen würde. Um dies zu vermeiden, gehen Sie bitte wie
folgt vor:

Das neue pers. Kennwort sollte genau acht Zeichen umfassen. Mehr
sind nicht möglich und weniger mindern die Sicherheit. Wir
empfehlen jeweils mindestens einen Groß- und Kleinbuchstaben,
eine Ziffer und ein Sonderzeichen zu verwenden. (Die erlaubten
Sonderzeichen werden bei der Kennwortänderung angezeigt.)

Nach Änderung des pers. Kennworts (Bestätigung im Kundencenter):

Sofern ein Speedport der Telekom verwendet wird und 'Easy Support'
aktiviert ist, wird Ihnen jetzt angeboten, das neue Kennwort
automatisch in den Router zu übernehmen. Ist 'Easy Support' nicht
aktiviert oder schlägt die automatische Übernahme fehl, rufen Sie
bitte die Konfiguration des Speedports auf und klicken dort auf der
Startseite auf die Schaltfläche [Internet sperren]. Ändern Sie dann
das persönliche Kennwort im Speedport und geben die Verbindung ins
Internet wieder frei.

Sollte kein Speedport verwendet werden, sollten Sie das Kabel vom
Router zum DSL-Anschluss abstecken und anschließend das Kennwort
auch im Router ändern. Erst danach stecken Sie das Kabel bitte
wieder ein.

Die anderen Passwörter können jeweils acht bis 16 Zeichen umfassen. Es
sollten unterschiedliche Passwörter mit Groß- und Kleinschreibung,
Zahlen und Sonderzeichen verwendet werden. Achtung: Die geänderten
Passwörter müssen auch in den entsprechenden Anwendungen eintragen
werden. Beispielsweise muss das 'E-Mail-Passwort' in fast allen
E-Mail-Programmen zweimal geändert werden, nämlich sowohl für den
Posteingangs- und auch den Postausgangsserver.

Mit freundlichen Grüßen
Hagen Busch

Deutsche Telekom AG
SEC-CDM / Abuse Team
T-Online-Allee 1
D-64295 Darmstadt
E-Mail: abuse@telekom.de

www.t-online.de/abuse
www.telekom.de

Erleben, was verbindet.

Die gesetzlichen Pflichtangaben finden Sie unter:
www.telekom.com/pflichtangaben

Große Veränderungen fangen klein an - Ressourcen schonen
und nicht jede E-Mail drucken.

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder
diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort
den Absender und löschen Sie diese E-Mail. Das unerlaubte Kopieren
sowie die unbefugte Weitergabe dieser E-Mail und der darin
enthaltenen Informationen sind nicht gestattet.

Freundliche Grüße
lawson

Telekom Abuse Team - generic Trojaner/Virus

Alles rund um Mac OSX & Linux: Telekom Abuse Team - generic Trojaner/Virus

Telekom Abuse Team - generic Trojaner/Virus

Ähnliche Themen: Telekom Abuse Team - generic Trojaner/Virus