Unser Haushalt hat vor kurzem von der Telekom einen Brief "Von ihrem Anschluss werden Viren verbreitet" bekommen. Natürlich alle Rechner gescannt und diverse Netzwerkwerkeinstellungen eingeschränkt... Mit Wireshark ins Netz geschaut: Verdächtig kommt mir vor, dass Pakete mit einem Protokoll durchlaufen, die für Netzwerk über die Steckdose sind. Wir haben zwar so ein Teil, allerdings liegt das im Schrank, seit wir eine feste LAN-Verkabelung haben. Verdächtig groß waren die Pakete allerdings auch nicht. - Aber warum sind sie überhaupt da? Festgestellt haben wir, dass jemand ins Netz kommt: Im Router (Telekom Speedport W700) waren mehrere Rechner mit Namen "PC-[NUMMER]" eingetragen, die nicht von uns sind. Merkwürdigerweise stimmt die IP der PCs mit der unseres Druckers (Brother MFC-J5910DW) überein, für den letztens auch jemand ein Firmwareupdate gemacht hat. Die Info zum Update kam per Mail (leider nicht mehr auffindbar) in den letzten Tagen (Drucker ist auch von der entsprechenden Person registriert worden, also möglich), das letzte Firmwareupdate von Brother zu dem Drucker ist allerdings schon ein paar Monate alt - Ich hätte erwartet, dass solche Mails zeitnah verschickt werden. Ist hier jemand über ein Firmware-Virus ins Heimnetz eingedrungen? Ich dachte immer, so eine Plattform wäre zu speziell, um für die Virenschreiber interessant zu sein. Andererseits ist diese Druckerreihe für kleinere Unternehmen gedacht, d.h. der Viren-Programmierer verspricht sich mehr Gewinn? Nun habe ich außerdem mal wieder eine (merkwürdige, weiterlesen) Paypal-Phishing-Mail erhalten: >Probleme mit der Darstellung? Online-Version ansehen > > >PayPal > > > > >PayPal informiert: >Ihr Konto wurde vorrübergehend eingeschränkt. > > >Sehr geehrter Herr [VORNAME NACHNAME], > >Es wurde ein Fremdzugriff auf Ihrem PayPal Konto festgestellt. Daher >haben wir Ihr Konto vorübergehend eingeschränkt. Sie können Ihr Konto >nach einer abgeschlossenen Verifikation wieder in vollem Umfang nutzen. >Um Ihre Identität zu bestätigen, folgen sie bitte dem angegeben Link mit >Ihrer Kunde ID. > >Bitte beachten Sie, dass Ihr Zugang solange eingeschränkt bleibt, bis Sie >Ihre Identität bestätigt haben. > >http://paypal.de >/verifizierung.php?KundenID=[LANGE FOLGE AUS BUCHSTABEN UND ZIFFERN] >Ihr PayPal Team >Security Managment >PayPal Deutschland > > > >Sie möchten mit uns Kontakt aufnehmen? >Am einfachsten geht das unter www.PayPal.de/kontakt. >Unsere Kundenhotline erreichen Sie unter 0180 600 55 27 > >(Mo.-Fr. 8.00 bis 21.30 Uhr und Sa.-So. 9.00 bis 19.30 Uhr. Für Anrufe >aus dem Festnetz fallen maximal 14 Cent/Min. an, aus Mobilfunknetzen sind >es maximal 42 Cent/Min. > > > > > Passwort vergessen? >Passwort zurücksetzen > > > Brauchen Sie Hilfe? >Kontakt aufnehmen > > >Diese PayPal-Benachrichtigung wurde Sie gesendet, um Ihrem PayPal Account >die höchst mögliche Sicherheit und Aktualität zu gewehrleisten. > >Copyright © 1999–2013 PayPal. Alle Rechte vorbehalten. PayPal (Europe) >S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener >Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 >349. Ich habe mehrere Anhaltspunkte, das es sich um Phishing handelt: 1. Rechtschreib/Grammatikfehler: >a) mit Ihrer Kunde[n] ID. >b) gewehrleisten 2. Die Telefonnummer ist fettgedruckt, in allen anderen Mails von Paypal steht die "0180 500 66 27", hier steht die "0180 600 55 27" (kann natürlich auch sein, dass die ok ist, denn mal ehrlich - Phishing per Telefon?) 3. In der Nachrichten ID steht ein falscher Server: "...@www9.tronics24.de" 4. Außerdem wurde die Mail nicht an die Adresse geschickt, mit der ich bei Paypal registriert bin. (->also definitiv gefälscht!) Merkwürdigerweise kann ich allerdings nicht feststellen, dass irgendwelche Links manipuliert sind - die gehen alle auf paypal.de, laut DENIC auf ebay GmbH registriert und 2011 das letzte Mal geändert. Daher die Frage: Was wollen die mit dieser (auf den ersten Blick dämlichen) Mail? Meine einzige Erklärung wäre, dass Drucker oder Router geknackt sind und jetzt mithorchen würden, wenn ich mich einlogge - andererseits erscheint mir der Aufwand für so einen Angriff und die Spezialisierung auf (Drucker-?)Firmware schon fast zu aufwändig, als das es jemand darauf abgesehen haben könnte, oder?
In der letzten C't war ein Artikel über gehackte Router. Die Wahrscheinlichkeit, dass es für Deinen Drucker auch einen Firmware-Hack gibt, den Du Dir jetzt eingetreten hast, ist also garnicht so gering. Der Vorteil für die Urheber: kein Virentöter erkennt die, Router und viele Drucker sind dauernd eingeschaltet. Ja, und sie scannen den Datenstrom um Zugangsdaten usw. auszuspähen.
Eine Korrelation der Paypal-Phishing-Mails mit Deinem Drucker würde ich als nicht gegeben ansehen. So etwas gibt es immer wieder, ab in die Tonne damit und ignorieren. Das Druckerproblem kannst Du möglicherweise durch Verwendung statischer IP-Adressen umgehen. Konfiguriere den Drucker so, daß er eine statische IP-Adresse (aus dem gleichen Adressraum wie der Rest, aber nicht aus dem Adresspool des HDCP-Servers) bekommt, und stelle weder ein Standard-Gateway/Router noch einen DNS-Server ein. Idealerweise solltest Du die IP-Adresse des Routers selbst ändern, oft ist das ja die .1; nimm da irgendwas anderes (was ebenfalls nicht aus dem Adresspool des DHCP-Servers des Routers kommt), um etwaige plumpe Versuche der Routerfindung zu erschweren. Beispiel: Router (alt) 192.168.0.1 DHCP-Pool 192.168.0.20 - 200 Drucker fest auf 192.168.0.250 Router auf 192.168.0.243 Möglicherweise hilft das ja schon. Alternativ kannst Du natürlich auch DHCP komplett deaktivieren und alles von Hand konfigurieren, dort Dinge wie Standardgateway und DNS-Server nur bei den Geräten eintragen, die auch tatsächlich Internetzugang bekommen sollen. Sofern Dein Router das zulässt, kannst Du auch jeden ausgehenden IP-Traffic für die IP-Adresse Deines Druckers sperren.
Sinus Tangentus schrieb: > In der letzten C't war ein Artikel über gehackte Router. Die > Wahrscheinlichkeit, dass es für Deinen Drucker auch einen Firmware-Hack > gibt, den Du Dir jetzt eingetreten hast, ist also garnicht so gering. ein wenig mehr in-depth information über drucker malware http://www.youtube.com/watch?v=gRGEnakrx9o
Simon L. schrieb: > Unser Haushalt hat vor kurzem von der Telekom einen Brief "Von ihrem > Anschluss werden Viren verbreitet" bekommen. Natürlich alle Rechner > gescannt und diverse Netzwerkwerkeinstellungen eingeschränkt... Malware auf einem Rechner tangieren Virenscanner und Firewalls nur periphär.
Erstmal danke für die Infos. Der Vortrag vom 28C3 war sehr interessant. Ich konnte allerdings mittlerweile verifizieren, dass das Firmware-Update von Original von Brother war (Beim Download wird nur das alte Datum angezeigt, in einer Infobox aber das richtige). Nach wie vor habe ich aber natürlich das Problem "Welche Rechner sind betroffen? Und ist der Router direkt betroffen?" Wie könnte man das bei einem Router überhaupt herausfinden? Dazu muss ich vielleicht noch sagen, das in der Router-MAC-Liste immer aktive Rechner aus dem eigenen Netz angezeigt werden. Dort waren drei PCs nach dem oben genannten Namensmuster eingetragen. Das WLAN ist aus, also hängt entweder jemand von aussen im Netz (Router) oder er hat mindestens einen PC infiziert und kommuniziert über gefälschte MAC-Adressen ins LAN. Bei den Rechnern ist "alles Plattmachen", was ja die sicherste Vorgehensweise wäre, leider nicht in allen Fällen praktikabel (die anderen werden selbstverständlich neu installiert). Wie könnte man denn am besten herausfinden, ob ein Rechner befallen ist? Meine Idee: Laut dem Brief wird ja auch rausgesendet, d.h. ich müsste das im Netzwerkverkehr sehen können. Folglich würde ich Wireshark für mehrere Stunden dranhängen und alles rausfiltern, was mir unverdächtig vorkommt. Ist aber sicherlich ein bisschen Glückssache, ob ich da etwas finde...
Du könntest mal bei der Telekom in der Fachabteilung anrufen. Die sollen dir sagen, ob gerade Aktivität herrscht. Wenn ja, ein Netzwerkkabel nach dem anderen abziehen, bis Ruhe ist (oder nur noch der Router übrig bleibt). Sonst musst du sie um einen Rückruf bitten. So konnte bei einem Betrieb in der Nachbarschaft eine Teilzeit-Spamschleuder erkannt werden. Bei Virenscans war der betreffende Rechner unauffällig.
Simon L. schrieb: > Unser Haushalt hat vor kurzem von der Telekom einen Brief "Von ihrem > Anschluss werden Viren verbreitet" bekommen. Ein Brief aus Papier? > Natürlich alle Rechner gescannt Hoffentlich von einer CD gebootet und nicht einfach unter Windows den Virenscanner laufen gelassen? Der findet u.U. nichts, wenn das System schon infiziert ist.
Alexander Schmidt schrieb: > Ein Brief aus Papier? Ja, mit allen wichtigen Anschluss und Vertragsdaten, richtigem Namen etc. - Schätze ich als seriös ein... > Hoffentlich von einer CD gebootet und nicht einfach unter Windows den > Virenscanner laufen gelassen? Der findet u.U. nichts, wenn das System > schon infiziert ist. Zunächst haben wir natürlich den installierten Virenscanner laufen lassen, bei dem Scan von CD sind wir noch nicht mit allen Rechnern durch... Nebenbei: Habt ihr irgendwelche Tipps für Virenscanner-CDs, die besonders viel finden? (Meinetwegen darf auch mal ein "false positive" dabei sein, den kann ich immer noch selber prüfen)
Simon L. schrieb: > Die Info zum Update kam per Mail (leider nicht mehr auffindbar) Eieiei... Netterweise mitsamt Link zum Download von irgend.was.ru?
Eventuell hat sich ein Gast (z.B. Freund des Kindes) ins WLAN eingeloggt, der einen infizierten Laptop hat. Simon L. schrieb: > Nebenbei: Habt ihr irgendwelche Tipps für Virenscanner-CDs, die > besonders viel finden? (Meinetwegen darf auch mal ein "false positive" > dabei sein, den kann ich immer noch selber prüfen) Ich kann die Desinfe c't empfehlen, weil sie vier Virenscanner einsetzt und sich vor der Start übers Netzwerk aktualisiert. http://www.heise.de/ct/projekte/Desinfec-t-1213110.html Bekommt man allerdings nur mit der Zeitschrift c't.
Simon L. schrieb: > Nebenbei: Habt ihr irgendwelche Tipps für Virenscanner-CDs, die > besonders viel finden? (Meinetwegen darf auch mal ein "false positive" > dabei sein, den kann ich immer noch selber prüfen) Die c't bringt jährlich eine Desinfec't CD raus, mit 4 Scanners drauf, die sich aus dem Internet aktualisieren. Aber: Scanner sind keine Wunderwaffen. Gibt viel Viechzeug, das die standhaft ignorieren. Auch noch viele Monate nach Auftauchen in freien Wildbahn.
>Eieiei... Netterweise mitsamt Link zum Download von irgend.was.ru? Simon L. schrieb: > Ich konnte allerdings mittlerweile verifizieren, dass das > Firmware-Update von Original von Brother war (Beim Download wird nur das > alte Datum angezeigt, in einer Infobox aber das richtige). Ich schau mal, ob so eine desinfe'ct auftreiben kann (hab die irgendwo schon mal gesehen), ansonsten gehe ich die Scan-CDs der Hersteller nacheinander durch. (die gibts ja meist sogar kostenlos, sehr schön!) Edit: Bei Wireshark konnte ich an zwei Beispielhaft ausgewählten Rechnern noch nichts verdächtiges feststellen, wobei der Virus sich vielleicht nur Mittwochs bei Vollmond die Updates zieht, wenn die Audiophilen ihre Kabel aus handsortierten Kupfer-Atomen zwirbeln lassen - um es mal sinngemäß auszudrücken (= der kann ja aktiv sein wann er will).
:
Bearbeitet durch User
Kann ja auch ein false-positive sein, gibts ja öfter, und das auch im professionellen Umfeld. Nur so als Beispiel was schiefgehen kann: Zwei Linux-Cluster bei einem unserer Kunden mit sehr grosser IT-Struktur und unzähligen Firewalls konnten an Maria Himmelfahrt (Feiertag in Bayern) auf einmal nicht mehr miteinander reden. Die machen WebDAV zum Datenaustausch. HTTP ging aber problemlos durch... Häh? tcpdump auf beiden Seiten zeigte, dass die WebDAV-Datenpakete rausgehen, aber nicht ankommen. SYN/ACK geht durch. Die wenigen Leute, die da waren, konnten sich das nicht erklären, freiwillig schraubt am Feiertag ja auch keiner rum. Lösung nicht in Sicht. Da aber durchaus Firmenprozess-relevante Datenmengen drüber gehen, habe ich was mit ssh-Tunneln zusammengefrickelt. War gut so, der Blockadezustand ging noch 5 weitere Tage... Am Montag darauf kam dann raus, dass es (trotz aller Dementis vorher) wohl doch eine Firewall mit Deep-Packet-Inspection gibt (der Scanner ist wohl von Symantec), und die hat in den WebDAV-Paketen zwischen den Linux-Rechnern kontinuierlich(!) einen "Trojan-FakeAV.Win32.Scanner.I" gefunden und dann die TCP-Verbindung blockiert. Profis ;)
Simon L. schrieb: > Unser Haushalt hat vor kurzem von der Telekom einen Brief "Von ihrem > Anschluss werden Viren verbreitet" bekommen. Natürlich alle Rechner > gescannt und diverse Netzwerkwerkeinstellungen eingeschränkt... > > Mit Wireshark ins Netz geschaut: Verdächtig kommt mir vor, dass Pakete > mit einem Protokoll durchlaufen, die für Netzwerk über die Steckdose > sind. Wir haben zwar so ein Teil, allerdings liegt das im Schrank, seit > wir eine feste LAN-Verkabelung haben. Verdächtig groß waren die Pakete > allerdings auch nicht. - Aber warum sind sie überhaupt da? Was du da schreibst klingt nach einem Arztbesuch mit "Ich bin wahrscheinlich krank, was habe ich denn?". Wer präzise Antworten will, sollte präzise Angaben machen. > Festgestellt haben wir, dass jemand ins Netz kommt: Im Router (Telekom > Speedport W700) waren mehrere Rechner mit Namen "PC-[NUMMER]" > eingetragen, die nicht von uns sind. WLAN gehackt? > Merkwürdigerweise stimmt die IP der > PCs mit der unseres Druckers (Brother MFC-J5910DW) überein, für den > letztens auch jemand ein Firmwareupdate gemacht hat. Jemand? Wer ist jemand und warum wurde das Update gemacht? > Nun habe ich außerdem mal wieder eine (merkwürdige, weiterlesen) > Paypal-Phishing-Mail erhalten: Die hat damit sehr sicher nichts zu tun.
A. K. schrieb: > Die c't bringt jährlich eine Desinfec't CD raus, mit 4 Scanners drauf, > die sich aus dem Internet aktualisieren. > > Aber: Scanner sind keine Wunderwaffen. Gibt viel Viechzeug, das die > standhaft ignorieren. Auch noch viele Monate nach Auftauchen in freien > Wildbahn. Ich habe bis vor kurzem auch auf diese CD gesetzt. Bis sie dann auf einem Notebook einen Haufen Viren fand, ich diese dann angsterfüllt in Quarantäne schickte. Danach ging NIX mehr, waren wohl allesamt Fehlalarme und mit viel Mühe habe ich die Dateien wieder rekonstuiert. Hernach setzte ich viele andere Programme ein und KEIN einziges hat auch nur einen Virus angezeigt. Mein Fazit: Zum Scannen JA, aber nicht gleich alles kurz und klein quarantänisieren oder löschen.
> Was du da schreibst klingt nach einem Arztbesuch mit "Ich bin > wahrscheinlich krank, was habe ich denn?". Wer präzise Antworten will, > sollte präzise Angaben machen. Tut mir leid, welche Informationen fehlen dir? > WLAN gehackt? Eher unwahrscheinlich, dass ist seit Jahren deaktiviert und wurde höchstens an 1-2 Tagen im Jahr mal für ein paar Stunden eingeschaltet. Dennoch natürlich möglich. > Jemand? Wer ist jemand und warum wurde das Update gemacht? Der Besitzer des Druckers. Der Drucker ist bei Brother registriert und die haben die Info herausgeschickt, das es ein Update gibt. (Inzwischen Verifiziert) >Mein Fazit: Zum Scannen JA, aber nicht gleich alles kurz und klein >quarantänisieren oder löschen. Ich scanne erstmal weiter mit diversen CDs, blind löschen werde ich nicht.
Simon L. schrieb: > Tut mir leid, welche Informationen fehlen dir? ich finde ja diesen Satz am interessantesten: > Im Router (Telekom >Speedport W700) waren mehrere Rechner mit Namen "PC-[NUMMER]" >eingetragen, die nicht von uns sind. was genau ist "eingetragen" nur IP und Name? keine Mac-Adresse ist das immer noch so? "interne" angriffe sind ausgeschlossen? was ist von extern erreichbar? (also welche port-forwardings gibts es, webinterface vom router erreichbar?..) hat dieser telekom-router bekannte Schwachstellen (firmware aktuell usw.) >Ich konnte allerdings mittlerweile verifizieren, dass das >Firmware-Update von Original von Brother war (Beim Download wird nur das >alte Datum angezeigt, in einer Infobox aber das richtige). wie hast du das "verifiziert"??
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.