Deutsche Telekom Abuse-Team - Infektion: generic

Sehr geehrter Herr XXXXX,

vielen Dank, dass Sie sich an uns gewendet haben. Folgendes können wir Ihnen zu den beschwerdegegenständlichen Vorgängen mitteilen.


So wurde die Schadsoftware entdeckt
-----------------------------------

Über Ihren Internetzugang wurde ein "Sinkhole" kontaktiert. Das ist ein Server, der als Falle für durch Schadsoftware befallene Rechner dient, indem er einen Command&Control-Server eines Botnets simuliert. Ein Command&Control-Server ist ein Bestandteil eines Botnets, der zwischen dem eigentlichen Verbrecher und seinen "Bots" vermittelt. Unter hxxp://www.elektronik-kompendium.de/sites/net/1501041.htm finden Sie bei Interesse eine gute Erklärung der Struktur eines Botnets sowie eine schematische Darstellung.

Bei den beschwerdegegenständlichen Zugriffen handelt es sich nicht um den Versand von E-Mails. Die Steuerung der Bots erfolgt über die Ports
80 (HTTP) und 443 (HTTPS), das ist die übliche Vorgehensweise der Botnetzbetreiber, da es keine Internetzugänge gibt, bei denen diese Ports gesperrt sind. Per HTTP(S) aktualisieren sich die Bots, liefern gestohlene Login-Daten ab und holen sich ihre Aufgabenlisten ab: An DoS-Attacken teilnehmen, rechtswidrige Inhalte verbreiten, Spam versenden, usw. 


Informationen zum detektierten Schädling
----------------------------------------

Leider liegen uns keine spezifischen Informationen dazu vor, welche Schadsoftware für den Zugriff verantwortlich ist. 

Aus den bisherigen Rückmeldungen anderer Kunden können wir (abgesehen von den üblichen 'verseuchten' Windows-Rechnern) darauf schließen, dass auch folgende Geräteklassen in Frage kommen:

 - Geräte mit einer Android-Version < 4.4 (Elf Sicherheitslücken in
   Systemkomponente WebView, die nicht gefixt werden, siehe
   hxxp://ct.de/-2528130)

 - Spezielle Geräte mit meist unixoiden OS, die einen Webserver
   beinhalten. Die darauf installierte Software wird oft nicht gepflegt,
   sodass veraltete Installationen (CMS, PHP, SQL, Apache, Bash, ntpd) 
   vorliegen, die Sicherheitslücken beinhalten. Sind diese Geräte von
   außen erreichbar, kann man davon ausgehen, dass diese auch früher
   oder später gefunden und missbraucht werden. In erster Linie betrifft
   dies NAS (Netzwerkspeichersystem), aber auch IP-Kameras oder anderes
   wären denkbar. 

 - Von außen erreichbare Server oder Gateways mit unixoiden OS
   (betrifft insbesondere Linux und Mac OS)

Die beschwerdegegenständlichen Zugriffe fanden über die folgenden, Ihrem Zugang zugewiesenen IP-Adressen zu den angegebenen Zeitpunkten statt, die relevanten Zeitangaben aus den Beschwerden haben wir in die jeweilige deutsche Zeitzone (MESZ/MEZ) umgerechnet:

| 91.46.235.64	  Mo, 13.04.2015 21:41:37 MESZ	Ermahnung

Mögliche Ursache: Fremdnutzung des lokalen Netzwerks
----------------------------------------------------

Beziehen Sie bei Ihren Überlegungen mit ein, dass das Problem durch einen Dritten verursacht worden sein könnte: Wenn zu dem jeweils genannten Zeitpunkt ein Gast berechtigten Zugang zu Ihrem WLAN/LAN (und damit Ihrem Internetzugang) hatte, kann es natürlich sein, dass die Aktion die zu der Beschwerde führte, von seinem Rechner ausging. Eltern sollten hierbei insbesondere auch etwaigen Besuch der Kinder "auf dem Radar" haben. 

    Besonders wenn der Zugang von einer Firma benutzt wird, kalkulieren
    Sie bitte auch etwaige mitgebrachte Rechner von Mitarbeitern oder
    gar Kunden ein. Auch Rechner von Mitarbeitern, die über ein VPN in
    Ihr lokales Netzwerk gelangen, könnten die Beschwerden verursachen. 

Oder Sie betreiben ein WLAN und dieses ist womöglich nicht oder nur unzureichend gesichert. Ein offenes WLAN kann durch Nachbarn auch völlig unabsichtlich mitbenutzt werden, da sich Windows gern das nächstbeste WLAN "greift", zu dem es eine Verbindung aufbauen kann. Es ist erforder- lich, das WLAN mindestens mit dem Verschlüsselungsverfahren WPA, besser WPA2, zu sichern (WEP ist unsicher!). Auch der Zugang zur Router- konfiguration muss mit einem Passwort gesichert werden. 

    Bitte nicht vorschnell abwehren, dass dies nicht sein könne, etwa
    weil Sie genau wüssten, dass Sie das Funknetz bestens abgesichert 
    hätten. Das glaubten wir Ihnen durchaus, aber auch WLAN-Router sind 
    letztlich nur dumme, fehlerbehaftete Maschinen, die gelegentlich 
    abstürzen, sich aufhängen oder einen plötzlichen Neustart hinlegen. 
    Im letzteren Fall kann es passieren, dass die Werkseinstellungen 
    geladen werden und zumindest bei älteren Modellen wird das WLAN dann
    "offen" betrieben. Da auch die meisten Betriebssysteme nach dem 
    Motto "Hauptsache, es funktioniert" äußerst benutzerfreundlich 
    agieren, nehmen diese die unverschlüsselte Verbindung ohne zu Murren
    (also ohne Hinweis an den Benutzer) an. 

    Andere geben an, kein WLAN zu benutzen und diese Funktion auch 
    explizit in Ihrem WLAN-fähigen Endgerät deaktiviert zu haben. 
    Schauen Sie dennoch besser einmal nach. Viele WLAN-DSL-Router haben 
    am Gehäuse einen Taster, mit dem man das WLAN ein- und ausschalten 
    kann. Insbesondere kann man es versehentlich einschalten. Wenn man 
    das WLAN nicht eingerichtet hat, weil man es selbst nicht benötigt, 
    dann ist es zumindest bei älteren Geräten automatisch "offen", also 
    für jedermann in Funkreichweite nutzbar. 


Allgemeine Ratschläge zur Bereinigung des befallenen Rechners
-------------------------------------------------------------

Zuallererst müssen die Schädlinge entfernt werden. Um die Chance zu erhöhen, auch weniger verbreitete Manipulationen zu finden, empfehlen wir einige kostenlose Anwendungen. Diese müssen zwar nicht alle verwendet werden, man sollte jedoch fortfahren, bis das Problem gefunden und beseitigt wurde. Dabei muss man beachten, dass einige Schädlinge den Aufruf und Download sicherheitsrelevanter Seiten und Tools aktiv blockieren können, so dass der Download dann von einem anderen Rechner aus, nötigenfalls bei einem Bekannten, erfolgen sollte.

Zusätzlich zu üblichen Virenscannern kann auch das 'Tool zum Entfernen bösartiger Software' von Microsoft geladen und ausgeführt werden. Unter hxxp://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx
bietet Microsoft diese Software zum Download an.

Deutschsprachig und auch recht einfach in der Anwendung sind die beiden Varianten des EU-Cleaner, die unter https://www.botfrei.de zu finden sind. Wichtig: Bitte unbedingt die Hinweise zu den Anwendungen auf der Seite lesen und vor der Benutzung auch die Anleitung herunterladen!

Zum Einsatz auf bereits infizierten Systemen sind auch die folgenden beiden Anwendungen besonders geeignet: 

 Malwarebytes Anti-Malware  (Free Version) hxxp://de.malwarebytes.org/
Wichtig: Da Malwarebytes auch einen Virenwächter installiert, der dem Virenwächter einer bereits installierten Schutzsoftware ins Gehege kommen könnte, sollte das Programm nach der Bereinigung deinstalliert werden!

Ein ausgewiesener Spezialist ist das kostenlos erhältliche 'Kaspersky Virus Removal Tool', da es keinen Virenschutz zur Verfügung stellt, sondern als Reinigungs- und Rettungssoftware fungiert. Zu finden ist dieses unter hxxp://www.kaspersky.com/antivirus-removal-tool?form=1
(bitte wählen Sie dort die deutsche Sprachversion).

Sobald sich eine Schadsoftware auf einem Rechner 'eingenistet' hat und diesen quasi 'beherrscht', hängt es jedoch mehr oder weniger nur noch vom Geschick des Programmierers ab, ob eine ihm bekannte Schutzsoftware seine Manipulationen überhaupt noch entdecken kann. Ganz besonders gilt dies für sogenannte Boot- bzw. Rootkits, die sich selbst und weitere Schadprogramme für das System 'unsichtbar' machen.

Das Mittel der Wahl wären dann Boot-CDs bzw. Boot-DVDs, mit denen man den Rechner untersuchen kann, ohne dass das infizierte Betriebsystem gestartet wird. Diese Möglichkeit bietet z.B. Avira mit der 'DE-Cleaner Rettungssystem DVD', die unter https://www.botfrei.de/rescuecd.html zum Download bereitgestellt wird. Wichtig: Bitte die Hinweise dort beachten und auch die Anleitungen herunterladen!

Leider besteht jedoch nie die Gewissheit, wirklich alle Manipulationen gefunden zu haben, so dass das System womöglich nach kurzer Zeit erneut befallen wäre. Guten Gewissens können wir deshalb nur die vollständige Neu-Installation des Betriebssystems empfehlen. Wichtige Informationen und Anleitungen, die bei einer Neu-Installation beachtet werden sollten, bietet Botfrei.de unter: https://www.botfrei.de/neuinstallation.html

Wenn Sie Ihr Sicherheitsproblem nicht selbst lösen können, raten wir Ihnen, einen Experten bzw. eine Computerwerkstatt hinzuzuziehen.


Vermeidung einer sofortigen, erneuten Infektion
-----------------------------------------------

Damit die Schädlinge nach der Bereinigung nicht wieder auftauchen, müssen Sie danach alle (!) Updates für das Betriebssystem und für die von Ihnen benutzten Anwendungen einspielen und zwar BEVOR Sie auch nur ein einziges Dokument (Insbesondere PDF-Dateien, aber auch Bilder und
Videos) öffnen oder auch nur einen einzigen USB-Datenträger daran anschließen. Das ist nämlich auch ein üblicher Verbreitungsweg. Nicht nur externe Festplatten und Speichersticks kommen in Frage, sondern auch Digitalkameras und MP3-Player bzw. einfach jedes USB-Gerät mit beschreibbaren Speicher. Denn erst mit dem Windows-Update Mitte Februar
2011 hat Microsoft diesen Weg insofern erschwert, dass der Autostart für USB-Datenträger deaktiviert wurde. 

Es wäre wirklich frustrierend, wenn man beispielsweise den Rechner in stundenlanger Arbeit neu aufsetzt und wie zuvor einrichtet, nur um dann feststellen zu müssen, dass man sich die Urlaubsfotos besser erst nach dem Neustart nach den letzten Update angeschaut hätte ... 

Da der Internet Explorer auch Betriebssystemsdienste zur Verfügung stellt, sollte er auch dann aktualisiert werden, wenn er nicht zum Browsen im Web benutzt wird. 


Eine kleine FAQ zum Thema 'Schutzsoftware'
------------------------------------------

Meine Antiviren-Software hat keine Bedrohung gemeldet?

Gängige Antiviren-Software erkennt mittels herkömmlicher Methoden (Signaturen und Heuristik) allenfalls noch 40-60% der aktuellen Bedrohungen. Die Erkennungsraten werden durch weitere Methoden
 - insbesondere dem 'Behavioral Blocking' und Reputationsdatenbanken - verbessert, allerdings verfügt meist nur kostenpflichtige Schutzsoftware über diese erweiterten Methoden. 

Natürlich sollten die generellen Sicherheitshinweise beachtet werden, also Popups, HTML in E-Mails, Java, Adobe Flash etc. bestenfalls deaktivieren und nur für vertrauenswürdige Inhalte aktivieren und niemals Inhalte (Software, Filme, Dokumente usw.) aus nicht vertrauenswürdigen Quellen verwenden.

Woher weiß ich, ob meine Software aktuell ist?

Nicht jedes Programm auf Ihrem PC hat eine automatische Update-Funktion.
In diesem Zusammenhang möchten wir Ihnen empfehlen, sich die für Privatanwender kostenlose Software 'Secunia Personal Software Inspector'
(Secunia PSI) anzuschauen: Sie scannt Ihre Festplatte und vergleicht die Versionsnummern mit einer stets aktuellen Datenbank mehrerer tausend Anwendungen. Die Software zeigt Ihnen den direkten Downloadlink gleich mit an und unterstützt teilweise automatische Updates. Sie finden dieses hilfreiche Werkzeug unter:
hxxp://secunia.com/vulnerability_scanning/personal/

Ist es möglich Infektionen generell zu verhindern?

Durch Zusatzsoftware kann man Rechner so konfigurieren, dass der Anwender quasi in einem sicheren Bereich abgeschottet wird und Änderungen dort nach Benutzung einfach gelöscht werden können. Für Windows bietet diese Funktion bspw. das Programm 'Sandboxie':
hxxp://de.wikipedia.org/wiki/Sandboxie

Wo finde ich weitere Informationen?

Neben unseren eigenen und zahlreichen fremden Angeboten ist das Bürger-CERT des Bundesamtes für Sicherheit in der Informationstechnik sicherlich die beste Anlaufstelle. Das Bürger-CERT informiert und warnt Bürger und kleine Unternehmen schnell und kompetent vor Viren, Würmern und Sicherheitslücken in Computeranwendungen – kostenfrei und absolut neutral. Experten analysieren rund um die Uhr die Sicherheitslage im Internet und verschicken bei Handlungsbedarf aktuelle Warnmeldungen und
Sicherheitshinweise: hxxp://www.buerger-cert.de


Nachsorge: Zur Vermeidung weiterer Schäden alle Passwörter ändern
------------------------------------------------------------------

Nachdem Sie Ihre(n) Rechner bereinigt haben, kann weiterer Schaden durch den Missbrauch bereits gestohlener Zugangsdaten entstehen. Daher raten wir Ihnen, *alle* Passwörter zu ändern, vergessen Sie dabei nicht etwaige Passwörter für Onlinebanking, eBay, Amazon & Co., falls Sie solche Dienste nutzen. (Wichtig: Dies darf nur von einem Rechner aus erfolgen, der garantiert "sauber" ist, sonst landen die neuen Passwörter gleich wieder bei einem der Angreifer!)

Zu den mit unseren Diensten benötigten Passwörtern einige gesonderte Anmerkungen und Tipps: 

Ändern Sie bitte alle Passwörter im Kundencenter unter dem URL https://kundencenter.telekom.de/kundencenter/kundendaten/passwoerter

     das 'persönliches Kennwort' (für den Zugang),
     das 'Passwort' (für Webdienste),
     das 'E-Mail-Passwort' und
     das 'FTP-Passwort' (falls eingerichtet)

Hinweis: Das persönliche Kennwort ist das Hauptpasswort. Damit können Sie sich im E-Mail Center, Kundencenter etc. anmelden, auch wenn dafür ein anderes Passwort eingerichtet wurde!

Das neue persönliche Kennwort tragen Sie nach der Änderung bitte auch für den Internetzugang z. B. im Router ein:

     Vergisst man, das pers. Kennwort rechtzeitig in den Router
     einzutragen, würde dieser sich wiederholt mit dem nicht mehr
     gültigen Kennwort einwählen, was zu einer automat. Schutzsperre bis
     24 Uhr führen würde. Um dies zu vermeiden, gehen Sie bitte wie
     folgt vor:

     Das neue pers. Kennwort sollte genau acht Zeichen umfassen. Mehr
     sind nicht möglich und weniger mindern die Sicherheit. Wir
     empfehlen jeweils mindestens einen Groß- und Kleinbuchstaben,
     eine Ziffer und ein Sonderzeichen zu verwenden. (Die erlaubten
     Sonderzeichen werden bei der Kennwortänderung angezeigt.)

     Nach Änderung des pers. Kennworts (Bestätigung im Kundencenter):

     Sofern ein Speedport der Telekom verwendet wird und 'Easy Support'
     aktiviert ist, wird Ihnen jetzt angeboten, das neue Kennwort
     automatisch in den Router zu übernehmen. Ist 'Easy Support' nicht
     aktiviert oder schlägt die automatische Übernahme fehl, rufen Sie
     bitte die Konfiguration des Speedports auf und klicken dort auf der
     Startseite auf die Schaltfläche [Internet sperren]. Ändern Sie dann
     das persönliche Kennwort im Speedport und geben die Verbindung ins
     Internet wieder frei.

     Sollte kein Speedport verwendet werden, sollten Sie das Kabel vom
     Router zum DSL-Anschluss abstecken und anschließend das Kennwort
     auch im Router ändern. Erst danach stecken Sie das Kabel bitte
     wieder ein.

Die anderen Passwörter können jeweils acht bis 16 Zeichen umfassen. Es sollten unterschiedliche Passwörter mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen verwendet werden. Achtung: Die geänderten Passwörter müssen auch in den entsprechenden Anwendungen eintragen werden. Beispielsweise muss das 'E-Mail-Passwort' in fast allen E-Mail-Programmen zweimal geändert werden, nämlich sowohl für den
Posteingangs- und auch den Postausgangsserver.

Mit freundlichen Grüßen
Christine Reimer

Deutsche Telekom AG
SEC-CDM / Abuse Team
T-Online-Allee 1
D-64295 Darmstadt
E-Mail: abuse@telekom.de
www.telekom.de

Erleben, was verbindet.

Die gesetzlichen Pflichtangaben finden Sie unter:
www.telekom.com/pflichtangaben

Große Veränderungen fangen klein an - Ressourcen schonen und nicht jede E-Mail drucken.

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese E-Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail und der darin enthaltenen Informationen sind nicht gestattet.

On Wed, 15 Apr 2015 12:17:42 +0200, you wrote:

>Sehr geehrte Damen und Herren,
>
>vielen Dank für Ihre Email. Könnten Sie mir bitte Details (MAC, IP, Datei, Software,...) zu der Angelegenheiten nennen damit ich einschränken kann von welchem Rechner aus unserem Netzwerk die Bedrohung ausgeht? 
>
>Mit freundlichen Grüßen
>XXXXX
>
>> Am 15.04.2015 um 09:34 schrieb Deutsche Telekom Abuse-Team <abuse@telekom.de>:
>> 
>> 
>> | Kundennummer: xxxxx
>> | Anschlussinhaber: xxxxx
>> 
>> Sehr geehrte Kundin,
>> sehr geehrter Kunde,
>> 
>> uns liegen Hinweise von Sicherheitsexperten vor, dass mindestens ein 
>> Rechner, der sich über Ihren Internetzugang mit dem Internet 
>> verbindet, mit einem Virus/Trojaner infiziert ist.
>> 
>> Die folgende IP-Adresse war zu dem genannten Zeitpunkt Ihnen zugeordnet:
>> 
>> IP-Adresse: 91.46.235.64
>> Zeitangabe: 13.04.2015, 21:41:37 (MESZ)
>> Infektion: generic
>> 
>> Wir empfehlen Ihnen jetzt folgende Schritte:
>> 
>> 1. Bitte stellen Sie sicher, dass Ihr Computer frei von Viren und 
>> Trojanern ist. Verwenden Sie hierzu bitte eine Schutzsoftware Ihrer 
>> Wahl.
>>    
>> 2. Ändern Sie dann alle Passwörter:
>> - das 'Persönliche Kennwort' (für die Einwahl ins Internet)
>> - das 'Passwort' (für das E-Mail- und Kundencenter)
>> - das 'E-Mail-Passwort' (für E-Mail Programme, wie z.B. Microsoft
>> Outlook)
>> für die Dienste der Deutschen Telekom. Dies können Sie zentral im 
>> Kundencenter unter https://kundencenter.telekom.de tätigen. Vergessen 
>> Sie nicht etwaige Passwörter für Onlinebanking, eBay, Amazon, Paypal 
>> und so weiter, falls Sie solche Dienste nutzen.
>> 
>> 3. Bitte prüfen Sie auch die Einstellungen Ihres Computers, ob das 
>> Betriebssystem und die installierte Software aktuell sind.
>> 
>> Die Reihenfolge ist wichtig, da die neuen Passwörter sonst direkt 
>> wieder von Dritten ausgelesen werden könnten, wenn eine vorhandene 
>> Schadsoftware nicht zuvor entfernt wurde. Wenn Sie hierbei 
>> Unterstützung benötigen, erreichen Sie uns von Montag bis Freitag von
>> 08:00 Uhr bis 18:00 Uhr direkt unter der kostenfreien Rufnummer 0800
>> 5544 300. Halten Sie hierzu Ihre Abuse-ID und Zugangsnummer, welche 
>> Sie im Betreff finden, bereit.
>> 
>> Sollten wir weitere Meldungen zu Ihrem Zugang erhalten, werden wir 
>> nötigenfalls die entsprechenden Dienste einschränken, um fortgesetzte 
>> Beeinträchtigungen Dritter zu verhindern.
>> 
>> Auf unserer Seite https://abusefaq.telekom.de haben wir Ihnen viele 
>> hilfreiche Tipps und Links zum Thema "Sicherheit" zusammengestellt.
>> 
>> Wenn Sie Fragen zu unserer E-Mail haben, schreiben Sie uns an 
>> abuse@telekom.de und geben Sie dabei Ihre im Betreff genannte 
>> Zugangsnummer an.
>> 
>> Mit freundlichen Grüßen
>> 
>> Deutsche Telekom AG
>> SEC-CDM / Abuse-Team
>> T-Online-Allee 1
>> D-64295 Darmstadt
>> E-Mail: abuse@telekom.de
>> 
>> hxxp://www.t-online.de/abuse
>> hxxp://www.telekom.de
>> 
>> ERLEBEN, WAS VERBINDET.
>> 
>> Die gesetzlichen Pflichtangaben finden Sie unter:
>> www.telekom.com/pflichtangaben
>> 
>> Große Veränderungen fangen klein an - Ressourcen schonen und nicht 
>> jede E-Mail drucken.
>> 
>> Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte 
>> Informationen. Wenn Sie nicht der richtige Adressat sind oder diese 
>> E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den 
>> Absender und löschen Sie diese E-Mail. Das unerlaubte Kopieren sowie 
>> die unbefugte Weitergabe dieser E-Mail und der darin enthaltenen 
>> Informationen sind nicht gestattet.