Solved
Abuse mail wegen Wannacrypt
8 years ago
Ich habe am 15.5 eine Abuse Mail von abuse@telekom.de bekommen, sieht auch seriös aus und ich finde nix an der Mail was irgendwie "gefährlich ist", kein Annhang, keine ungewähnlichen URL's also gehe ich davon aus das die wirklich von der Telekom kommt.
< snip >
uns liegen Hinweise von Sicherheitsexperten vor, dass mindestens ein Rechner oder ein Endgerät, z.B. Smartphone, das sich über Ihren Internetzugang mit dem Internet verbunden hatte, mit einem Virus/Trojaner infiziert ist. Die folgende IP-Adresse war zu dem genannten Zeitpunkt Ihnen zugeordnet: IP-Adresse: * Zeitangabe: 13.05.2017 11:34:59 MESZ Infektion: Wannacrypt
<blablabla>
Ich halte aber eine Infektion für unwarscheinlich bis unmöglich.
Ist die Quelle die für das erstellen der Mail gesorgt hat die Telekom selber? Woran wir erkannt das hier im Netz Wanacrypt sein unwesen treiben soll?
Alle 3 PC die am Samstag hier im Netz waren, waren auf aktuellem Patchstand.
SMB müste der Speedport Hybrid von aussen filtern, oder?
Bis jetzt zeigt keiner der PC einen Sperrbildschirm.
Infektion via Email ist eher unwarscheinlich.
Hab es gestern Mittag False Positiv Abuse Mails?
648
6
This could help you too
483
0
8
8 years ago
Ich weiß nicht, wie die Telekom dies erkennen möchte. Eventuell wurde ein für diesen Virus typischer Datenverkehr an deinem Anschluss durch ein automatisiertes System erkannt (?).
1
Answer
from
8 years ago
[...] Eventuell wurde ein für diesen Virus typischer Datenverkehr an deinem Anschluss durch ein automatisiertes System erkannt (?).
Das wäre auch meine Vermutung. Möglicherweise haben Aktivitäten, die von Deiner IP ausgingen, dazu geführt, dass andere Systeme kompromittiert wurden.
Um zweifelsfrei festzustellen dass kein Schadcode auf Deinen Geräten sind, müsstest Du ein Live-System starten oder die Festplatte ausbauen und auf einem anderen Gerät checken. Bei aktivem Betriebssystem besteht die Möglichkeit, dass sich der Schadcode tarnt/versteckt/deaktiviert und sich u.U. erst beim Herunterfahren wieder selber zusammenbaut und speichert.
Evtl hat sich der Schadcode auch nach seiner Ausführung selber gelöscht, damit er nicht gefunden wird und analysiert werden kann.
Ich trau den Dingern alles zu.
Unlogged in user
Answer
from
Accepted Solution
accepted by
8 years ago
Das Sicherheitsteam der Telekom versendet tatsächlich immer wieder mal etwas, wenn ihnen was auffällt.
Der Wannacrypt ist doch der Expressertroyaner, der gestoppt wurde, in dem ein Sicherheitsexperte aus London eine Internetseite in einem Code entdeckt hatte, welche er registrieren ließ. Das war ein Notschalter in dem Expressertroyaner, der verhindert hat, dass sich noch mehr Rechner verabschieden, also Zugriffe auf Dateien auf den Rechnern gesperrt werden. Nichtsdestotrotz ist dann weiterhin der entsprechende Trojaner auf dem Rechner vorhanden, sollte also beseitigt werden.
Ich könnte mir vorstellen, dass die Telekom alle IP-Adresse heraus fischt (aber nur geraten), von denen aus Rechner einen Kontakt zu der Notfall-Ip-Adresse des Experten herzustellen versuchen. Und wer weiß, was sie im Verkehr noch so alles prüfen können.
Die Infektion muss von dem Rechner runter, oder sogar in Mehrzahl von den Rechnern, und falls ein Netzwerkspeicher vorhanden ist, könnte er sich dort auch schon eingebettet haben (möglicherweise).
Der Trojaner konnte sich nur in den Rechnern einbetten, welche eine bestimmte Aktualisierung von Microsoft (welche sie im März heraus gebracht hatten) nicht upgedatet hatten. Sogar XP-Rechner, welche eigentlich keine keinerlei Updateversorgung ansonsten von Microsoft haben, wurden von Microsoft mit einem Update versorgt, herunter rufbar.
Bei älteren Rechnern läuft es über ein extra Sicherheitsmodul.
Ich würde den Hinweis ernst nehmen, der gekommen ist.
https://www.heise.de/newsticker/meldung/WannaCry-Co-So-schuetzen-Sie-sich-3714596.html
https://www.heise.de/newsticker/meldung/WannaCry-Microsoft-liefert-Sicherheits-Patches-fuer-veraltete-Windows-Versionen-3713417.html
2
Answer
from
8 years ago
Das könnte es sein Telektra:
"Ich könnte mir vorstellen, dass die Telekom alle IP-Adresse heraus fischt (aber nur geraten), von denen aus Rechner einen Kontakt zu der Notfall-Ip-Adresse des Experten herzustellen versuchen. Und wer weiß, was sie im Verkehr noch so alles prüfen können."
Ich habe die URL im Browser einmal aufgerufen als ich das erste mal davon gelesen habe. Wenn die Telekom da nicht noch weitere Sachen auswertet (auswerten kann) dann wäre die Mail klar.
Answer
from
8 years ago
Es könnte auch ähnlich wie in diesem Beitrag gelaufen sein.
http://bit.ly/2qMbOf5
Killswitch URL Testweise aufrufen= Böse
Unlogged in user
Answer
from
Accepted Solution
accepted by
8 years ago
danke für deine Anfrage. Es wurde schon vieles richtig gesagt. @Gelöschter Nutzer hat recht. Die Killswitch-URL wird von renomierten Sicherheitsunternehmen überwacht und wenn die URL aufgerufen wird, werden die Internet Serivce Provider, also auch wir, informiert. Und da man nicht unterscheiden kann, ob eine Person das manuell gemacht hat oder der Virus, informieren wir unsere Kunden.
Ich hoffe, das hilft euch weiter.
Viele Grüße
Uli H.
0
Unlogged in user
Ask
from