Forum: Offtopic Virus im Drucker & dämliches(?) Paypalphishing oder was ist hier los?

In der letzten C't war ein Artikel über gehackte Router. Die 
Wahrscheinlichkeit, dass es für Deinen Drucker auch einen Firmware-Hack 
gibt, den Du Dir jetzt eingetreten hast, ist also garnicht so gering.

Der Vorteil für die Urheber: kein Virentöter erkennt die, Router und 
viele Drucker sind dauernd eingeschaltet. Ja, und sie scannen den 
Datenstrom um Zugangsdaten usw. auszuspähen.

Eine Korrelation der Paypal-Phishing-Mails mit Deinem Drucker würde ich 
als nicht gegeben ansehen. So etwas gibt es immer wieder, ab in die 
Tonne damit und ignorieren.

Das Druckerproblem kannst Du möglicherweise durch Verwendung statischer 
IP-Adressen umgehen.

Konfiguriere den Drucker so, daß er eine statische IP-Adresse (aus dem 
gleichen Adressraum wie der Rest, aber nicht aus dem Adresspool des 
HDCP-Servers) bekommt, und stelle weder ein Standard-Gateway/Router noch 
einen DNS-Server ein.

Idealerweise solltest Du die IP-Adresse des Routers selbst ändern, oft 
ist das ja die .1; nimm da irgendwas anderes (was ebenfalls nicht aus 
dem Adresspool des DHCP-Servers des Routers kommt), um etwaige plumpe 
Versuche der Routerfindung zu erschweren.

Beispiel:

Router (alt) 192.168.0.1
DHCP-Pool 192.168.0.20 - 200

Drucker fest auf 192.168.0.250
Router auf 192.168.0.243

Möglicherweise hilft das ja schon.


Alternativ kannst Du natürlich auch DHCP komplett deaktivieren und alles 
von Hand konfigurieren, dort Dinge wie Standardgateway und DNS-Server 
nur bei den Geräten eintragen, die auch tatsächlich Internetzugang 
bekommen sollen.

Sofern Dein Router das zulässt, kannst Du auch jeden ausgehenden 
IP-Traffic für die IP-Adresse Deines Druckers sperren.

Simon L. schrieb:
> Unser Haushalt hat vor kurzem von der Telekom einen Brief "Von ihrem
> Anschluss werden Viren verbreitet" bekommen. Natürlich alle Rechner
> gescannt und diverse Netzwerkwerkeinstellungen eingeschränkt...

Malware auf einem Rechner tangieren Virenscanner und Firewalls nur 
periphär.

Erstmal danke für die Infos. Der Vortrag vom 28C3 war sehr interessant. 
Ich konnte allerdings mittlerweile verifizieren, dass das 
Firmware-Update von Original von Brother war (Beim Download wird nur das 
alte Datum angezeigt, in einer Infobox aber das richtige).

Nach wie vor habe ich aber natürlich das Problem "Welche Rechner sind 
betroffen? Und ist der Router direkt betroffen?"

Wie könnte man das bei einem Router überhaupt herausfinden?
Dazu muss ich vielleicht noch sagen, das in der Router-MAC-Liste immer 
aktive Rechner aus dem eigenen Netz angezeigt werden. Dort waren drei 
PCs nach dem oben genannten Namensmuster eingetragen. Das WLAN ist aus, 
also hängt entweder jemand von aussen im Netz (Router) oder er hat 
mindestens einen PC infiziert und kommuniziert über gefälschte 
MAC-Adressen ins LAN.

Bei den Rechnern ist "alles Plattmachen", was ja die sicherste 
Vorgehensweise wäre, leider nicht in allen Fällen praktikabel (die 
anderen werden selbstverständlich neu installiert).

Wie könnte man denn am besten herausfinden, ob ein Rechner befallen ist?


Meine Idee: Laut dem Brief wird ja auch rausgesendet, d.h. ich müsste 
das im Netzwerkverkehr sehen können. Folglich würde ich Wireshark für 
mehrere Stunden dranhängen und alles rausfiltern, was mir unverdächtig 
vorkommt. Ist aber sicherlich ein bisschen Glückssache, ob ich da etwas 
finde...

Du könntest mal bei der Telekom in der Fachabteilung anrufen. Die sollen 
dir sagen, ob gerade Aktivität herrscht. Wenn ja, ein Netzwerkkabel nach 
dem anderen abziehen, bis Ruhe ist (oder nur noch der Router übrig 
bleibt). Sonst musst du sie um einen Rückruf bitten. So konnte bei einem 
Betrieb in der Nachbarschaft eine Teilzeit-Spamschleuder erkannt werden. 
Bei Virenscans war der betreffende Rechner unauffällig.

Simon L. schrieb:
> Unser Haushalt hat vor kurzem von der Telekom einen Brief "Von ihrem
> Anschluss werden Viren verbreitet" bekommen.
Ein Brief aus Papier?

> Natürlich alle Rechner gescannt
Hoffentlich von einer CD gebootet und nicht einfach unter Windows den 
Virenscanner laufen gelassen? Der findet u.U. nichts, wenn das System 
schon infiziert ist.

Alexander Schmidt schrieb:
> Ein Brief aus Papier?
Ja, mit allen wichtigen Anschluss und Vertragsdaten, richtigem Namen 
etc. - Schätze ich als seriös ein...

> Hoffentlich von einer CD gebootet und nicht einfach unter Windows den
> Virenscanner laufen gelassen? Der findet u.U. nichts, wenn das System
> schon infiziert ist.
Zunächst haben wir natürlich den installierten Virenscanner laufen 
lassen, bei dem Scan von CD sind wir noch nicht mit allen Rechnern 
durch...

Nebenbei: Habt ihr irgendwelche Tipps für Virenscanner-CDs, die 
besonders viel finden? (Meinetwegen darf auch mal ein "false positive" 
dabei sein, den kann ich immer noch selber prüfen)

Simon L. schrieb:
> Die Info zum Update kam per Mail (leider nicht mehr auffindbar)

Eieiei... Netterweise mitsamt Link zum Download von irgend.was.ru?

Eventuell hat sich ein Gast (z.B. Freund des Kindes) ins WLAN 
eingeloggt, der einen infizierten Laptop hat.

Simon L. schrieb:
> Nebenbei: Habt ihr irgendwelche Tipps für Virenscanner-CDs, die
> besonders viel finden? (Meinetwegen darf auch mal ein "false positive"
> dabei sein, den kann ich immer noch selber prüfen)

Ich kann die Desinfe c't empfehlen, weil sie vier Virenscanner einsetzt 
und sich vor der Start übers Netzwerk aktualisiert.

http://www.heise.de/ct/projekte/Desinfec-t-1213110.html
Bekommt man allerdings nur mit der Zeitschrift c't.

Simon L. schrieb:
> Nebenbei: Habt ihr irgendwelche Tipps für Virenscanner-CDs, die
> besonders viel finden? (Meinetwegen darf auch mal ein "false positive"
> dabei sein, den kann ich immer noch selber prüfen)

Die c't bringt jährlich eine Desinfec't CD raus, mit 4 Scanners drauf, 
die sich aus dem Internet aktualisieren.

Aber: Scanner sind keine Wunderwaffen. Gibt viel Viechzeug, das die 
standhaft ignorieren. Auch noch viele Monate nach Auftauchen in freien 
Wildbahn.

>Eieiei... Netterweise mitsamt Link zum Download von irgend.was.ru?

Simon L. schrieb:
> Ich konnte allerdings mittlerweile verifizieren, dass das
> Firmware-Update von Original von Brother war (Beim Download wird nur das
> alte Datum angezeigt, in einer Infobox aber das richtige).

Ich schau mal, ob so eine desinfe'ct auftreiben kann (hab die irgendwo 
schon mal gesehen), ansonsten gehe ich die Scan-CDs der Hersteller 
nacheinander durch. (die gibts ja meist sogar kostenlos, sehr schön!)

Edit: Bei Wireshark konnte ich an zwei Beispielhaft ausgewählten 
Rechnern noch nichts verdächtiges feststellen, wobei der Virus sich 
vielleicht nur Mittwochs bei Vollmond die Updates zieht, wenn die 
Audiophilen ihre Kabel aus handsortierten Kupfer-Atomen zwirbeln lassen 
- um es mal sinngemäß auszudrücken (= der kann ja aktiv sein wann er 
will).

Kann ja auch ein false-positive sein, gibts ja öfter, und das auch im 
professionellen Umfeld.

Nur so als Beispiel was schiefgehen kann: Zwei Linux-Cluster bei einem 
unserer Kunden mit sehr grosser IT-Struktur und unzähligen Firewalls 
konnten an Maria Himmelfahrt (Feiertag in Bayern) auf einmal nicht mehr 
miteinander reden. Die machen WebDAV zum Datenaustausch. HTTP ging aber 
problemlos durch... Häh? tcpdump auf beiden Seiten zeigte, dass die 
WebDAV-Datenpakete rausgehen, aber nicht ankommen. SYN/ACK geht durch. 
Die wenigen Leute, die da waren, konnten sich das nicht erklären, 
freiwillig schraubt am Feiertag ja auch keiner rum. Lösung nicht in 
Sicht. Da aber durchaus Firmenprozess-relevante Datenmengen drüber 
gehen, habe ich was mit ssh-Tunneln zusammengefrickelt. War gut so, der 
Blockadezustand ging noch 5 weitere Tage...

Am Montag darauf kam dann raus, dass es (trotz aller Dementis vorher) 
wohl doch eine Firewall mit Deep-Packet-Inspection gibt (der Scanner ist 
wohl von Symantec), und die hat in den WebDAV-Paketen zwischen den 
Linux-Rechnern kontinuierlich(!) einen "Trojan-FakeAV.Win32.Scanner.I" 
gefunden und dann die TCP-Verbindung blockiert.

Profis ;)

Simon L. schrieb:
> Unser Haushalt hat vor kurzem von der Telekom einen Brief "Von ihrem
> Anschluss werden Viren verbreitet" bekommen. Natürlich alle Rechner
> gescannt und diverse Netzwerkwerkeinstellungen eingeschränkt...
>
> Mit Wireshark ins Netz geschaut: Verdächtig kommt mir vor, dass Pakete
> mit einem Protokoll durchlaufen, die für Netzwerk über die Steckdose
> sind. Wir haben zwar so ein Teil, allerdings liegt das im Schrank, seit
> wir eine feste LAN-Verkabelung haben. Verdächtig groß waren die Pakete
> allerdings auch nicht. - Aber warum sind sie überhaupt da?

Was du da schreibst klingt nach einem Arztbesuch mit "Ich bin 
wahrscheinlich krank, was habe ich denn?". Wer präzise Antworten will, 
sollte präzise Angaben machen.

> Festgestellt haben wir, dass jemand ins Netz kommt: Im Router (Telekom
> Speedport W700) waren mehrere Rechner mit Namen "PC-[NUMMER]"
> eingetragen, die nicht von uns sind.

WLAN gehackt?

> Merkwürdigerweise stimmt die IP der
> PCs mit der unseres Druckers (Brother MFC-J5910DW) überein, für den
> letztens auch jemand ein Firmwareupdate gemacht hat.

Jemand? Wer ist jemand und warum wurde das Update gemacht?

> Nun habe ich außerdem mal wieder eine (merkwürdige, weiterlesen)
> Paypal-Phishing-Mail erhalten:

Die hat damit sehr sicher nichts zu tun.

A. K. schrieb:

> Die c't bringt jährlich eine Desinfec't CD raus, mit 4 Scanners drauf,
> die sich aus dem Internet aktualisieren.
>
> Aber: Scanner sind keine Wunderwaffen. Gibt viel Viechzeug, das die
> standhaft ignorieren. Auch noch viele Monate nach Auftauchen in freien
> Wildbahn.

Ich habe bis vor kurzem auch auf diese CD gesetzt. Bis sie dann auf 
einem Notebook einen Haufen Viren fand, ich diese dann angsterfüllt in 
Quarantäne schickte.

Danach ging NIX mehr, waren wohl allesamt Fehlalarme und mit viel Mühe 
habe ich die Dateien wieder rekonstuiert. Hernach setzte ich viele 
andere Programme ein und KEIN einziges hat auch nur einen Virus 
angezeigt.

Mein Fazit: Zum Scannen JA, aber nicht gleich alles kurz und klein 
quarantänisieren oder löschen.

> Was du da schreibst klingt nach einem Arztbesuch mit "Ich bin
> wahrscheinlich krank, was habe ich denn?". Wer präzise Antworten will,
> sollte präzise Angaben machen.
Tut mir leid, welche Informationen fehlen dir?

> WLAN gehackt?
Eher unwahrscheinlich, dass ist seit Jahren deaktiviert und wurde 
höchstens an 1-2 Tagen im Jahr mal für ein paar Stunden eingeschaltet. 
Dennoch natürlich möglich.

> Jemand? Wer ist jemand und warum wurde das Update gemacht?
Der Besitzer des Druckers. Der Drucker ist bei Brother registriert und 
die haben die Info herausgeschickt, das es ein Update gibt. (Inzwischen 
Verifiziert)

>Mein Fazit: Zum Scannen JA, aber nicht gleich alles kurz und klein
>quarantänisieren oder löschen.
Ich scanne erstmal weiter mit diversen CDs, blind löschen werde ich 
nicht.

Simon L. schrieb:
> Tut mir leid, welche Informationen fehlen dir?

ich finde ja diesen Satz am interessantesten:

> Im Router (Telekom
>Speedport W700) waren mehrere Rechner mit Namen "PC-[NUMMER]"
>eingetragen, die nicht von uns sind.

was genau ist "eingetragen"
nur IP und Name? keine Mac-Adresse
ist das immer noch so?
"interne" angriffe sind ausgeschlossen?
was ist von extern erreichbar? (also welche port-forwardings gibts es, 
webinterface vom router erreichbar?..)
hat dieser telekom-router bekannte Schwachstellen (firmware aktuell 
usw.)

>Ich konnte allerdings mittlerweile verifizieren, dass das
>Firmware-Update von Original von Brother war (Beim Download wird nur das
>alte Datum angezeigt, in einer Infobox aber das richtige).

wie hast du das "verifiziert"??