Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Internetbetrug mittels Trojaner -> PC beschlagnahmt. PC aber sauber -> Hinweis auf Wardriving? (https://www.trojaner-board.de/202049-internetbetrug-mittels-trojaner-pc-beschlagnahmt-pc-sauber-hinweis-wardriving.html)

gregbau 17.06.2021 11:31

Internetbetrug mittels Trojaner -> PC beschlagnahmt. PC aber sauber -> Hinweis auf Wardriving?
 
Hallo Forum,

nachdem einer meiner PCs über eine Kette von Internetprovidern und Behörden als angeblich von einem bestimmten Trojaner befallen identifiziert wurde, der angeblich betrügerische Aktivitäten auf Handelsplattformen im Web vorgenommen hat, ist der PC nun von der Polizei beschlagnahmt worden.

Der PC befand sich zum Tatzeitpunkt in einem Firmen-WLAN, und es liegen Traffic-Mitschnitte vor (besuchte Webseiten bzw. IP-Adressen), die auf die fraglichen betrügerischen Aktivitäten hinzuweisen scheinen.

Ich bin gerade dabei, ein (nach den Vorfällen gezogenes) Image der Systemplatte mit diversen Tools zu scannen, wobei Microsoft Defender schonmal exakt null Bedrohungen bzw. verdächtige Dateien findet. Im Moment läuft gerade Trendmicro HouseCall durch das Systemimage. Sämtliche seit kurz vor dem Vorfall hinzugekommenen oder geänderten ausführbaren Dateien https://de.wikipedia.org/wiki/Ausf%C3%BChrbare_Datei#Windows sind lt. VirusTotal 100% sauber.

Nun ist mir eingefallen, dass möglicherweise Wardriving https://de.wikipedia.org/wiki/Wardriving dahinter stecken könnte, dass also jemand meinen PC-Namen und meine Mac-Adresse und/oder IP-Adresse aus dem WLAN gezogen und dort vor Ort für diese betrügerischen Aktivitäten verwendet hat. Es muss wohl auf jeden Fall vor Ort gewesen sein, da die Logdateien der Firma sowie des Internetproviders neben einer Signatur des fraglichen Trojaners auch die Firmen-IP und den Namen meines PCs enthalten. Oder lässt sich das alles fälschen, und der Betrug kann von irgendwo auf der Welt durchgeführt worden sein?

Danke für Tipps, ob es Möglichkeiten gibt, Wardriving nachzuweisen, z.B. aus Logfiles des betroffenen PCs oder des fraglichen Datenverkehrs.

cosinus 17.06.2021 11:47

Beim wardriving klinkt sich jemand in deinen Router ein, sprich er verbindet sich mit deinem WLAN um dann zu surfen. Was bitte hat das mit deinem Rechner zu tun? Der protokollier doch nicht das, was der Router macht. Wenn überhaupt findest du nur was im Router aber die einfachen standardrouter protokollieren wenig bis garnichts.

Wardring würde ich auch nur in Betracht ziehen, wenn eine extrem schlechte WLAN-Verschlüsselung zum Einsatz kommt. Was wird da bei euch in der Firma benutzt?

gregbau 17.06.2021 12:15

Die Firma benutzt WPA2 fürs WLAN.

cosinus 17.06.2021 12:17

Und wenn der PSK lang genug ist, kann man wardriving ausschließen.

gregbau 17.06.2021 12:55

Ok. Was könnte es dann gewesen sein?

Angenommen auf dem PC findet sich keinerlei Malware?

Bei dem WLAN handelt es sich übrigens um ein Gäste-WLAN, dessen Passwort weniger als zehn Zeichen hat und in der Branche auch weithin bekannt ist.

cosinus 17.06.2021 12:56

Dir ist schon klar, dass hier keine Hellseher im Forum sind?

gregbau 17.06.2021 13:20

Sieht aus als ob TrendMicro jetzt was findet.

Ich meld mich wenn ich weiß was es ist.

Außerdem werde ich das Image demnächst einmal booten, dann kann ich auch den Farbar Scan machen

gregbau 17.06.2021 15:19

Liste der Anhänge anzeigen (Anzahl: 1)
OK, hier schon mal das Ergebnis von TrendMicro:

https://i.imgur.com/IfZ7k7Q.png


Eine Adware/Malware namens ProxyGate aka RiskTool aka HackToo aka PUA.Win von einer Firma namens Gold Click Ltd, die jedoch von vielen Scannern, darunter Microsoft, nicht erkannt wird:
https://www.virustotal.com/gui/file/687627ec36a3c0cda136b2aa2806a358e00735aec249f9d89ed3503853e4c9bc/detection
https://www.file.net/prozess/cloud.exe.html
https://virus-removal-guide.net/en/15902-proxygate-pup-alerts-how-to-delete-proxygate/#:~:text=ProxyGate%20will%20obtain%20the%20complete%20control%20over%20your%20whole%20computer

PUP-Proxygate (Potentially Unwanted Program)
https://www.bleepingcomputer.com/virus-removal/remove-proxygate
https://web.archive.org/web/20201125222053/hxxp://proxygate.net
https://www.malwareremovalguides.info/remove-proxygate/

Interessanterweise sind alle Dateien in dem Verzeichnis dieses Tools 1 bis 3 Jahre alt, bis auf die Datei list.dat (mal angehängt), deren Änderungsdatum ungefähr mit den aktuellen Vorfällen übereinstimmt:

https://i.imgur.com/UBBZgWL.png


Falls das bei jemand eine Glocke läutet, bin ich natürlich sehr interessiert.

Vor allem natürlich an Einschätzungen, ob die oben beschriebenen Vorfälle damit etwas zu tun haben können -- oder ob das eher eine vergleichsweise harmlose Malware sein dürfte.

schlawack 17.06.2021 15:59

Du schreibst noch nicht einmal, was für ein Windows du auf dem PC einsetzt:eek:sollte es Windows 7 oder älter sein, kriegst du hier im Forum keinen Suport mehr zwecks Bereinigung und das gilt auch für Windows 10 Versionen, die von Microsoft keine Updates mehr bekommen. Wenn der PC dir gehört und bei dir daheim steht, würde ich eine Datensicherung machen und dann eine Windows 10 Neuinstallation von 21H1 nach Anleitung des Forums hier durchführen, sicherheitshalber alle deine bisherigen Passwörter ändern, den Router prüfen ob es ein Firmware Update dafür gibt und dessen W-LAN Passwörter ändern.

gregbau 17.06.2021 16:05

Es ist ein aktuelles Windows 10

schlawack 17.06.2021 16:06

Was heisst aktuell? 2004, 20H2 oder 21H1?

gregbau 17.06.2021 16:11

20H2

webwatcher 17.06.2021 16:20

aktuell ist 21H1. die Vorgängerversionen werde zwar noch supportet, der Upgrade ist zu empfehlen

schlawack 17.06.2021 16:20

Und was hälst du von meinem Vorschlag Windows 10 neu zu installieren plus die Sache mit den Passwörten und dem Router? Mit Passwörtern meine ich deine Passwörter für Accounts, Mail, Onlinebnanking, ebay, Amazone, Onlinshops usw.

mmk 17.06.2021 17:00

Geht das jetzt immer noch um diesen PC, bezüglich dessen Du Dich nicht mehr zurückgemeldet hattest, trotz Hinweises, bitte Infos gemäß der hiesigen Hinweise für Hilfesuchende zu posten?

-> https://www.trojaner-board.de/201945...ml#post1753870

Ohne detailliertere LogFiles und Infos bleibt das weiterhin teilweise ein Stochern im Nebel.

Und wenn es Dein privater PC im Firmennetzwerk ist: Inwiefern ist das mit den Admins der Firma abgestimmt? Wieso wird da ein privater PC ins Firmennetzwerk gebracht? Welche Maßnahmen wurden seitens Admins und von Deiner Seite zuvor getroffen, um dessen Vertrauenswürdigkeit sicherzustellen? Und sag jetzt nicht, durch Virenscanner und Virenscans.

Alleine das ist ja für sich schon mal ein großes Fragezeichen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:47 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131