Email "Auffälligkeiten bei Ihrem Anschluss" in der Zeit, wo niemand online war?
vor 2 Monaten
Hallo,
ich helfe einer alten Frau bei ihrem DSL Anschluss. Sie hat nur zwei analoge Telefone: früher hatte sie einen "Nur Telefon" Vertrag mit der Telekom, aber nach dem Umzug war es nicht möglich, diesen Vertrag zu übertragen, so habe ich für sie einen DSL Vertrag organisiert, und habe bei ihr eine Fritzbox hergerichtet. Das war Anfang Februar. Alles gut. Um Strom zu sparen sowie evtl. Angriff zu vermeiden, habe ich ihr WLAN ausgeschaltet: das gesagt, habe ich so gestellt, dass es an ist zwischen 23:59 und 24:00 Uhr: wenn ich dann vorbeikomme und WLAN einschalte, dann wird es spätestens am nächsten Tag aus, auch wenn ich vergesse, auszuschalten.
Nun aber kam eine Email der Telekom zu mir (sie hat keine Email), dass ein Gerät bei ihr infiziert war:
Zeitpunkt: 25.03.2026 01:35:50 MEZ
Infektion: kimwolf
Ich bin zu ihr gegangen und habe Syslog geschaut. Es zeigt sich, in dem Zeitpunkt war das WLAN aus, wie ich gerichtet habe. Kein Gerät war online. Sie ist alleine und war keiner bei ihr. She hat kein Smartphone, kein IP TV, wirklich die einzigen Netzwerkgeräte bei ihr sind bisher meine, und ich war nicht da. So gehe ich davon aus, dass diese Meldung ein Irrtum ist. Aber ich möchte wissen, wie so was passiert. Ist es möglich, dass die öffentliche Adresse, unter der kimwolf gefunden wurde, früher zu ihrem Anschluss zugewiesen war, und inzwischen zu einem anderen?
Ich wäre dankbar für die Info!
592
0
9
Das könnte Ihnen auch weiterhelfen
385
0
3
2225
4
3
1219
0
3
3100
0
7
Beliebte Tags letzte 7 Tage
Das könnte Sie auch interessieren
Kaufberatung anfragen
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Angebote anzeigen
Informieren Sie sich über unsere aktuellen Internet-Angebote.
vor 2 Monaten
Guten Abend @doremifajb,
Vielen Dank für deinen Beitrag.😊
Ich möchte dir gerne weiterhelfen und dazu einen genaueren Blick auf die E-Mail werfen, die du erhalten hast. Bitte füge uns hier einen Screenshot bei, damit wir uns das gemeinsam ansehen können. Denke daran, persönliche Daten vorher noch unkenntlich zu machen.🫣
Liebe Grüße
Cheyenne
0
0
vor 2 Monaten
Ich wäre dankbar für die Info!
Hallo,
ich helfe einer alten Frau bei ihrem DSL Anschluss. Sie hat nur zwei analoge Telefone: früher hatte sie einen "Nur Telefon" Vertrag mit der Telekom, aber nach dem Umzug war es nicht möglich, diesen Vertrag zu übertragen, so habe ich für sie einen DSL Vertrag organisiert, und habe bei ihr eine Fritzbox hergerichtet. Das war Anfang Februar. Alles gut. Um Strom zu sparen sowie evtl. Angriff zu vermeiden, habe ich ihr WLAN ausgeschaltet: das gesagt, habe ich so gestellt, dass es an ist zwischen 23:59 und 24:00 Uhr: wenn ich dann vorbeikomme und WLAN einschalte, dann wird es spätestens am nächsten Tag aus, auch wenn ich vergesse, auszuschalten.
Nun aber kam eine Email der Telekom zu mir (sie hat keine Email), dass ein Gerät bei ihr infiziert war:
Zeitpunkt: 25.03.2026 01:35:50 MEZ
Infektion: kimwolf
Ich bin zu ihr gegangen und habe Syslog geschaut. Es zeigt sich, in dem Zeitpunkt war das WLAN aus, wie ich gerichtet habe. Kein Gerät war online. Sie ist alleine und war keiner bei ihr. She hat kein Smartphone, kein IP TV, wirklich die einzigen Netzwerkgeräte bei ihr sind bisher meine, und ich war nicht da. So gehe ich davon aus, dass diese Meldung ein Irrtum ist. Aber ich möchte wissen, wie so was passiert. Ist es möglich, dass die öffentliche Adresse, unter der kimwolf gefunden wurde, früher zu ihrem Anschluss zugewiesen war, und inzwischen zu einem anderen?
Ich wäre dankbar für die Info!
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Botnetze/Steckbriefe-aktueller-Botnetze/Steckbriefe/Kimwolf/kimwolf_node.html
Namen der Schadsoftware: Kimwolf
Art der Schadsoftware: DDoS, Botnetz
Betroffenes Betriebssystem: Android
Betroffene Gerätetypen: Android-TV-Boxen, Set-Top-Boxen, digitale Bilderrahmen
Auswirkung: mittel
Was ist Kimwolf?
Kimwolf ist eine Android-basierte Schadsoftware, die infizierte Geräte in ein ferngesteuertes Botnetz einbindet. Die Schadsoftware zielt vorrangig auf Android-TV-Boxen, Set-Top-Boxen und digitale Bilderrahmen ab und wird als Android-Variante des Aisuru-Botnetzes eingestuft. Auf einem infizierten Gerät tarnt sich Kimwolf als legitimer Systemdienst und kommuniziert verschlüsselt mit einem C2 Server, über den die Betreiber verschiedene Befehle ausführen können. Zu den Hauptfunktionen gehören DDoS-Angriffe (Distributed Denial of Service), die Einrichtung von Fernzugriff über sogenannte Reverse Shells sowie die Nutzung kompromittierter Geräte als Proxy-Server, um den eigenen Internetverkehr über fremde Netzwerke zu verschleiern.
Wie habe ich mich mit Kimwolf infiziert?
Kimwolf verbreitet sich hauptsächlich über den Android Debug Bridge (ADB), einen Diagnosedienst, der auf vielen günstigen Android-TV-Boxen ab Werk aktiviert und ohne Authentifizierung erreichbar ist. Die Angreifer scannen Netzwerke gezielt nach solchen offenen Geräten und erhalten darüber sofort vollständigen Administratorzugriff. Ein zweiter, besonders heimtückischer Verbreitungsweg führt über kommerzielle Proxy-Netzwerke wie IPIDEA: Die Betreiber nutzen bestehende Proxy-Verbindungen, um sich durch das lokale Netzwerk zu tunneln und die Schadsoftware auf weitere erreichbare Geräte im selben Heimnetzwerk aufzuspielen. Darüber hinaus wurden Fälle dokumentiert, in denen die Schadsoftware bereits ab Werk auf Billig-Geräten vorinstalliert war.
Was muss ich jetzt machen?
Setzen Sie das betroffene Gerät auf die Werkseinstellungen zurück, da die Schadsoftware sich tief im System verankern kann und ein einfacher Neustart unter Umständen nicht ausreicht. Deaktivieren Sie anschließend den Android Debug Bridge (ADB), sofern Sie ihn nicht ausdrücklich benötigen, und spielen Sie die neueste verfügbare Firmware des Herstellers auf. Sollte der Hersteller keine Sicherheitsupdates mehr bereitstellen, empfiehlt es sich, das Gerät durch ein aktuelles Modell eines namhaften Herstellers zu ersetzen.
Weitere Informationen zum Entfernen der Malware finden Sie unter dem Punkt Infektionsbeseitigung bei smarten Haushaltsgeräten sowie Infektionsbeseitigung bei Smartphones und Tablets.
Technische Informationen
Zusätzliche Informationen zu der Schadsoftware in englischer Sprache finden Sie malpedia.caad.fkie auf der Webseite unseres Projektpartners Fraunhofer FKIE.
Kann auch nen alter günstiger AndroidTV sein.
0
3
von
vor 2 Monaten
Ich wollte eigentlich Info bzgl. falsche Meldungen (d.h. wie die Telekom mal als Irrtum eine Warnung schicken würde.) finden. Dass die Meldung falsch war, ist ziemlich klar. Die Frau hat nichts anderes als analoge Telefone angeschlossen. Sie hat einen Fernseher, er ist auf Vodafone Kabel. Sie hat überhaupt kein IP Gerät. (Sie überlegt sich, Smartphone zu probieren.) Man sieht das schon an Syslog von Fritzbox, so wie in der Liste von Geräten, die mal angeschlossen waren, dass dann nichts war.
Ich denke mal, das könnte passieren, wenn zu einer IP Adresse mehr als eine Person verbunden ist: das könnte dann, dass jemand gerade die IP-Adresse hat, die sie mal hatte. Oder könnte das mit CG -NAT zu tun?
0
von
vor 2 Monaten
Hallo @doremifajb,
bei dieser Art von E-Mail solltest du dich an unser Sicherheitsteam wenden. Zu erreichen sind die Kolleg*innen unter 0800 55 44 300.
Viele Grüße
Kerstin
0
von
vor 2 Monaten
Oder könnte das mit CG -NAT zu tun?
Ich wollte eigentlich Info bzgl. falsche Meldungen (d.h. wie die Telekom mal als Irrtum eine Warnung schicken würde.) finden. Dass die Meldung falsch war, ist ziemlich klar. Die Frau hat nichts anderes als analoge Telefone angeschlossen. Sie hat einen Fernseher, er ist auf Vodafone Kabel. Sie hat überhaupt kein IP Gerät. (Sie überlegt sich, Smartphone zu probieren.) Man sieht das schon an Syslog von Fritzbox, so wie in der Liste von Geräten, die mal angeschlossen waren, dass dann nichts war.
Ich denke mal, das könnte passieren, wenn zu einer IP Adresse mehr als eine Person verbunden ist: das könnte dann, dass jemand gerade die IP-Adresse hat, die sie mal hatte. Oder könnte das mit CG -NAT zu tun?
Sowas hat die Telekom nicht.
0
Uneingeloggter Nutzer
von
vor 2 Monaten
Du kannst Dich auch einmal an das Sicherheitsteam unter der Rufnummer 0800 5544 300 wenden. Das Sicherheitsteam ist von Mo-Sa: 08:00-22:00 Uhr erreichbar. Da kann man Dir auch mehr zu der E-Mail sagen.
0
0
vor 2 Monaten
Ich hatte schon gleich 0800 55 44 300 angerufen, aber das hat nichts genützt, weil die Dame scheinbar meine Frage nicht verstanden hat. Ich wollte sie fragen, unter welcher Public IP und Port diese Infektion aufgefallen war (das stand nicht in der Email). Sie hat nur gesagt, "es gibt IP Adresse, die die Telekom verteilt, die die Nutzer nicht sehen, und das ist anders als die IP Adresse, die das Gerät von Nutzer bekommt, die Telekom hat keine Information von IP Adressen, die einzelnen Geräte bekommen, mehr können wir nicht helfen".
Da ich diese Antwort eher lahm fand, habe ich gedacht, ich schreibe hier.
Vor einigen Jahren hatte ich ähnliche Meldung für meinen eigenen Anschluss. Ich habe dann angerufen, habe ich dann ein bisschen mehr genaue Info, inkl. IP und Port, bekommen über Email (als pdf geschickt). Ich habe so was auch dieses Mal erwartet. Wenn ich die public IP, bei der die Telekom die Infektion gefunden hat, bekomme, dann kann ich mit dem Router Syslog vergleichen, um zu schauen, ob die IP Adresse übereinstimmt.
0
2
von
vor 2 Monaten
@doremifajb hier wirst Du zu diesem Thema wahrscheinlich keine weiteren Infos bekommen, diese kannst Du nur vom Sicherheitsteam bekommen. Vielleicht noch mal anrufen und dann hast Du einen anderen Mitarbeite bzw Mitarbeiterin dran. Alternativ kannst Du auch über e-Mail versuchen, mehr Infos zu bekommen. Hierzu einfach an abuse@telekom.de schreiben. Am besten da dahin die Mail weiterleiten und Deine Fragen stellen.
0
von
vor 2 Monaten
Moin @doremifajb,
magst du einmal in deinem Profil die Kundennummer des betroffenen Anschlusses, eine Rückrufnummer von dir und ein Zeit-Fenster, wann du am besten erreichbar bist hinterlegen? Wenn du das gemacht hast, gib mir gerne hier einen Ping, ich schaue es mir einmal an und melde mich dann bei dir telefonisch.
VG
Tamer C.
0
Uneingeloggter Nutzer
von
Uneingeloggter Nutzer
von