Trojaner "generic" auf Android -- Infobrief der Telekom und deren Abuse-Team
 

Hallo,

ich habe diese Woche einen Brief der Telekom bekommen, dass "mindestens ein Rechner, der über Ihren Internetzugang sich mit dem Internet verbindet, mit einem Virus / Torjaner infiziert ist".
Daraufhin habe ich zunächst meine Rechner mit "Desinfec't", von DVD gestartet gescanned, ohne Funde.

Gestern habe ich dann an abuse@telekom.de geschrieben und nach Details gefragt.
Von denen kam die Info:
"So wurde die Schadsoftware entdeckt
-----------------------------------

Über Ihren Internetzugang wurde ein "Sinkhole" kontaktiert. Das ist ein
Server, der als Falle für durch Schadsoftware befallene Rechner dient,
indem er einen Command&Control-Server eines Botnets simuliert.
...

Bei den beschwerdegegenständlichen Zugriffen handelt es sich nicht um
den Versand von E-Mails. Die Steuerung der Bots erfolgt über die Ports
80 (HTTP) und 443 (HTTPS), das ist die übliche Vorgehensweise der
Botnetzbetreiber, da es keine Internetzugänge gibt, bei denen diese
Ports gesperrt sind. Per HTTP(S) aktualisieren sich die Bots, liefern
gestohlene Login-Daten ab und holen sich ihre Aufgabenlisten ab: An
DoS-Attacken teilnehmen, rechtswidrige Inhalte verbreiten, Spam
versenden, usw.

Informationen zum detektierten Schädling
----------------------------------------

Den Beschwerden zufolge befindet sich in Ihrem LAN mindestens ein mit
der Schadsoftware "generic" verseuchter Rechner.

Die beschwerdegegenständlichen Zugriffe fanden über die folgenden, Ihrem
Zugang zugewiesenen IP-Adressen zu den angegebenen Zeitpunkten statt,
die relevanten Zeitangaben aus den Beschwerden haben wir in die
jeweilige deutsche Zeitzone (MESZ/MEZ) umgerechnet:

93.2XX.YY.ZZ Do, 27.11.2014 HH:52:04 MEZ Ermahnung
93.2XX.YY.ZZ So, 30.11.2014 HH:46:56 MEZ
93.2XX.YY.ZZ Mi, 03.12.2014 HH:27:50 MEZ
93.2XX.YY.ZZ Do, 04.12.2014 HH:56:41 MEZ
93.2XX.YY.ZZ So, 07.12.2014 HH:18:28 MEZ Ermahnung
93.2XX.YY.ZZ Di, 09.12.2014 HH:50:45 MEZ
93.2XX.YY.ZZ Fr, 12.12.2014 HH:39:13 MEZ
"

Die Zeiten treffen ziemlich gut die, zu denen jeweils nach der Arbeit nach Hause gekommen bin. Besonders auffällig sind dabei 2 Daten, bei denen ich abends noch auf Weihnachtsfeiern war und daher einige Stunden später als sonst da war.
Daher vermute ich, dass es mein Handy ist, das diese Zugriffe verursacht (Motorola Razr HD / XT925; Android 4.4.2 / Systemversion 180.46.119.XT925.Retail.en.DE, also nicht gerootet). Das habe ich erstmal mit Malwarebytes Anti-Malware gescanned -- gefundene Malware = 0 (Der Scan hat keine Malware auf Ihrem Gerät gefunden).

Hat jemand Erfahrungen - bin besorgt - kann es sich auch um falschen Alarm handeln?

Vielen Dank für jede Hilfe

Hi,

es ist unwahrscheinlich, dass es dein Handy ist.

Es ist sehr wahrscheinlich, dass es ein Windows-Rechner in deinem Netzwerk ist.

Führe auf allen Rechnern folgendes aus:

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


Wenn Funde vorliegen oder ein Scan nicht möglich ist, starte mit dem Rechner eine Bereinigung hier im Trojaner Board.

Hallo Seven,

besten Dank für die schnelle Antwort.
Bei mir gibt es nur noch einen Windows-Rechner, den habe ich gescanned wie von Dir beschrieben. Ergebnis:
"Cleanup:
Congratulations, no cleanup is required!

Scan Finished: No malware found!"


Ich bin ja auch eher skeptisch, was den Trojaner auf meinem Handy angeht, aber die Zeiten sind nachvollziehbar die, zu denen ich nach Hause kam (2x war zwischen Mitternacht und 2 Uhr morgens) und sprechen gegen den Windows-Rechner als Ursache: Er war aus!

Bleibt noch mein Speedport Router (von der Telekom) oder mein Debian Heimserver...
Beide glaubte ich eigentlich sicher konfiguriert zu haben.

Leider weiterhin ratlos...

Ist dein Handy gerooted oder läuft ein CustomMod drauf?

Wenn nicht, ist das noch unwahrscheinlicher....

Du kannst noch mit Avira scannen: http://www.trojaner-board.de/146076-...-security.html (oder Android antivirus app - Trojaner-Board) aber ich denke da wird nichts bei rumkommen.

Es wäre aber auch nicht das erste Mal, wenn diese Briefe unzutreffend wären.

Hast du ein IP anschluss?
Starte mal den Router neu.

Hallo Seven,

nein, nichts gerootet, kein Mod auf dem Handy.
Avira meldet auch "Keine Probleme..."

Damit lehne ich mich jetzt erstmal zurück -- vielleicht frage ich beim Abuse-Team der Telekom nach, wie sicher sie sich Ihrer Sache bei dem Sinkhole sind -- eine Antwort würde ich dann hier nochmal posten.

Besten Dank nochmal!
:daumenhoc

Ja, sag bitte bescheid :)