it-swarm.com.de

Vom ISP erhaltene E-Mail mit der Meldung, dass eines meiner Geräte Malware enthält

Mein Vater hat eine verdächtige E-Mail von unserem ISP erhalten ( mtnl.net.in). Die E-Mail war von [email protected] und hatte unsere Benutzer-ID (ich habe sie als xxxxxxxx @ a maskiert) in der E-Mail, also muss sie vom ISP selbst stammen.

E-Mail-Details unten:

Gegenstand:

"Andeutung in Bezug auf mit Malware/Viren infizierte Systeme"

Körper:

Sehr geehrter Herr/Frau,
Schöne Grüße!
Es wird festgestellt, dass Ihr Gerät, das mit dem Breitbandnetzwerk MTNL Mumbai mit der Breitbandnummer xxxxxxxx @ a verbunden ist, mit Malware infiziert ist. Dies entspricht der Analyse des Computer Emergency Response Teams -INDIA (Cert-IN) des Ministeriums für Elektronik und Informationstechnologie.
Malware (CNC) ist unerwünschte Software, die ohne Zustimmung des Benutzers im Benutzersystem installiert wird, während der Benutzer im Internet surft. Ein Angreifer oder Cyberkrimineller kann Befehle aus der Ferne an solche Systeme senden, die durch Malware gefährdet sind. Diese kompromittierten Maschinen können verwendet werden, um leistungsstarke Netzwerke (Botnetz) infizierter Geräte zu erstellen, die DDoS-Angriffe (Distributed Denial-of-Service) ausführen, Daten stehlen, Daten löschen oder Daten verschlüsseln können, um ein Erpressungsschema auszuführen. Das Gerät wird aufgrund der darauf installierten Malware/Viren Teil des Botnetzes.
Um Ihre Geräte zu schützen, überprüfen Sie Ihre Geräte bitte mit Antivirus S/w auf Malware/Botnetz.
Weitere Informationen zu Malware/Botnetzen und den Gegenmaßnahmen finden Sie unter https://www.cyberswachhtakendra.gov.in . Sie können auch "Kostenlose Tools zum Entfernen von Botnetzen" herunterladen.
Danke und herzliche Grüße,
MTNL, Mumbai


Ich habe alle Links aus der E-Mail extrahiert und sie über den URL-Scanner https://www.virustotal.com/ gescannt, aber alle wurden als sicher gemeldet.

Links:

Wenn Sie online schauen, gibt es eine ähnliche Frage zu Quora , aber ein anderes Szenario.

NETWORK AT HOME

  • Zwei Handys ( Android)
  • Ein Laptop ( Windows 10 mit Avira Antivirus)

FRAGE:

  • Kann ein ISP dies wirklich erkennen?

  • Soll ich darauf reagieren und was soll ich tun?


Um einige der Fragen zu beantworten:

  • Nur die oben genannten 3 Geräte sind mit dem WLAN verbunden, keine anderen IoT-Geräte.
  • Meine Eltern sind die einzigen Benutzer ... so können Sie TOR-Browser oder unangemessene Suchanfragen ausschließen.
  • Auch keine VMs im Netzwerk.
  • Ich werde versuchen, den ISP zu kontaktieren, aber sie sind eine Regierung und haben sehr schlechte Unterstützung.

Auch nach weiteren Recherchen scheint es, dass Quick Heal eine Verbindung zu MTNL und BSNL hat, die beide staatliche Anbieter sind, sodass die Möglichkeit besteht, dass sie nur für Quick Heal werben.

Links: Link1Link2Link

Persönliche Anmerkung: Ich finde es sehr seltsam, dass MTNL tatsächlich Probleme hat, Bots zu finden !!

30
Nigel Fds

Kann ein ISP dies wirklich erkennen?

Der ISP kann alle Daten sehen, die Ihre Systeme mit dem Internet austauschen (jedoch nicht den Klartext aus verschlüsselten Daten). Auf dieser Grundlage kann er Botnetze erkennen, die häufig ein typisches Verhalten zeigen.

Soll ich darauf reagieren und was tun?

Ja, Sie sollten diesbezüglich Maßnahmen ergreifen, da in Ihrem Netzwerk anscheinend Malware vorhanden ist, die dazu verwendet wird, andere Systeme im Internet zu stören (Versenden von Spam-Mails, DDoS-Angriffen, Verwendung als VPN zum Verbergen böswilliger Aktivitäten und anderer) und die sich möglicherweise auch auf Ihr System auswirken internes Netzwerk (Computer infizieren, Daten stehlen, Daten als Lösegeld nehmen ...).

Wenn Sie das Problem nicht beheben, besteht auch die Gefahr, dass der ISP Ihr Netzwerk einschränkt oder Sie sogar vollständig vom Internet trennt (abhängig von den Nutzungsbedingungen).

Aufgrund der von Ihnen angegebenen Informationen ist es jedoch unmöglich zu sagen, wo genau das Problem liegt. Möglicherweise ist Ihr Laptop infiziert (Antivirus bietet keinen 100% igen Schutz) oder eines Ihrer Telefone oder der Router selbst. Möglicherweise handelt es sich auch um andere Geräte in Ihrem Netzwerk, die Sie nicht wirklich kennen, z. B. einen Fernseher, einen Drucker, eine IP-Kamera oder andere IoT-Geräte. Dies kann auch durch Software verursacht werden, die Sie wissentlich selbst installiert haben, die jedoch eine versteckte bösartige Funktionalität aufweist, die Sie nicht kennen.

Die in der E-Mail angegebenen Links scheinen in Ordnung zu sein, sodass Sie diesen folgen können, um weitere Informationen und das angebotene Tool zum Entfernen von Botnetzen zu erhalten. Wenn Sie jedoch Zweifel haben, ob die E-Mail tatsächlich von Ihrem ISP stammt, wenden Sie sich bitte an den ISP. Aufgrund der bereitgestellten Informationen können wir den tatsächlichen Ursprung der E-Mail nicht erkennen.

52
Steffen Ullrich

Dies sieht aus wie eine legitime E-Mail.

Jemand entdeckte, dass ein Computer mit einer indischen IP-Adresse Teil eines Botnetzes war. Dies wurde mit Ihrem Nationalen CERT (CERT-In) geteilt. Da sie zum Zeitpunkt der Erkennung nicht wussten, welcher Benutzer diese IP-Adresse hatte, benachrichtigten sie Ihren ISP, der wiederum herausfand, welcher Kunde für diese Verbindung verantwortlich war, und diese Mitteilung an Ihren Vater weiterleitete.

Wie Sie sehen, verweisen sie Sie auf eine Botnet-Clearingstelle, die von CERT-In unter https://www.cyberswachhtakendra.gov.in/ eingerichtet wurde

Das Stück, das ich in dieser Benachrichtigung vermisse, ist, dass sie nicht erwähnen, wann die Verbindung zustande gekommen ist.

Wenn Sie ihren Anspruch überprüfen oder weitere Informationen erhalten möchten, würde ich Ihnen empfehlen, sich direkt an CERT-In zu wenden (der Link Kontakt unter https://cert-in.org.in/ bietet ihren Anspruch an E-mailadressen).

Ich vermisse die Benachrichtigung, dass sie Ihnen die Zeit gesendet haben, zu der das böswillige Verhalten erkannt wurde, oder zumindest die IP-Adresse, die Sie zu diesem Zeitpunkt hatten, was es für sie schwierig machen würde, herauszufinden, welche Von den Hunderten ähnlicher Warnungen, die sie verschickt haben, ist die, die Ihr Vater erhalten hat. Wenn Sie seit einiger Zeit dieselbe IP-Adresse haben, ist es wahrscheinlich, dass sie Ereignisse für Ihre aktuelle IP-Adresse finden (Sie müssten diese in Ihrer Anfrage angeben).

Angesichts der Tatsache, dass es in diesem Haus angeblich nur einen Computer und zwei Mobiltelefone gibt, besteht mein Verdacht darin, dass das infizierte Gerät der Laptop ist. Daher würde ich dort zunächst das Bot Removal Tool ausführen, das sie auf dem Cyber ​​Swachhta) empfehlen Kendra zur Desinfektion, da es in der Lage sein sollte, die Malware zu desinfizieren, vor der sie warnen. Und falls es nichts herausgefunden hat, dann fragen Sie das CERT-In nach weiteren Einzelheiten.

19
Ángel

Die E-Mail-Adresse, von der Sie die E-Mail erhalten haben, scheint echt zu sein. Der Körper der Post trägt ebenfalls zur Echtheit bei. E-Mail-Adressen von Absendern können jedoch mit offene Mail-Relays gefälscht werden. Laut dem Department of Telecom muss Port 25 blockiert werden, um die Oberfläche des Spoofings zu verringern. Es gibt jedoch viele offene Relais, die noch aktiv sind.

Um die Authentizität der E-Mail zu bestätigen, kopieren Sie bitte die Header und sehen Sie sich die Reputationsbewertung des ursprünglichen SMTP-Servers an. Verweis auf Online-Tool , vergessen Sie nicht, Ihre Header von dieser Site zu löschen, nachdem Sie die Quelle analysiert haben.

Alternativ können Sie Ihren ISP anrufen, um die Echtheit der E-Mails zu bestätigen.

Wenn Ihr ISP diese E-Mail wirklich an Sie gesendet hat, fordern Sie Sie auf, die folgenden Schritte auszuführen, um das Problem zu beheben.

  • Starten Sie einen vollständigen Malware-Scan auf dem Laptop. Sie können jede dieser Anti-Malware-Software verwenden Trendmicro House-Aufruf , MalwareBytes , Avast . Löschen Sie nach Abschluss des Scanvorgangs die erkannten Dateien, falls vorhanden.
  • Installieren Sie das Tool Process Explorer , um zu sehen, welche Prozesse auf dem Laptop ausgeführt werden. Sie haben eine wirklich gute Option in diesem Tool, um zu überprüfen, ob der laufende Prozess böswillig ist oder nicht gegen Virustotal (60+ Anti-Malware-Software) . Wenn Prozesse als bösartig gekennzeichnet sind, beenden Sie sie, öffnen Sie ihren Speicherort auf Ihrem lokalen Laufwerk und löschen Sie sie.
  • Suchen Sie nach kürzlich installierten Anwendungen, die Ihnen nicht bekannt sind oder die Ihnen verdächtig erscheinen.
  • Lassen Sie Ihre Telefone mit mobilen Anti-Malware-Anwendungen auch auf Malware scannen
  • Melden Sie die Ergebnisse der oben genannten Schritte Ihrem ISP und fragen Sie ihn, ob noch Botnet-Verbindungen vorhanden sind.

Hoffe, dass das oben Genannte Ihr Problem löst. Wenn nicht, hätten Sie Ihrem ISP zumindest einen Vorsprung bei der Ermittlung der Hauptursache der Malware verschafft.

11
nocut

Sie sollten diese Mail ernst nehmen.

Es gibt keinen Grund, Ihr Netzwerk nicht auf Malware zu untersuchen. (Sie müssen nicht auf ihre Links klicken oder ihre Tools herunterladen, um Ihre eigenen aus seriösen Quellen zu finden oder sie zuerst zu untersuchen.)

Die einzige verdächtige Information, die ich in der Mail sehen kann, ist das Auslassen einer bestimmten Bedrohung/Malware. Das macht es für den durchschnittlichen Endbenutzer sehr schwierig, es zu finden und zu entfernen.

Trotzdem halte ich es für legitim.

Da die E-Mail auf Cert-IN verweist ( https://cert-in.org.in/ ), können Sie auf ihrer Website nach aktuellen Benachrichtigungen suchen. Ihre E-Mail verweist wahrscheinlich auf ein vor kurzem) entdeckte Bedrohung , damit Sie nach diesen suchen können.

Da Sie sagen, "Geräte sind mit dem WLAN verbunden ", besteht möglicherweise eine geringe Wahrscheinlichkeit, dass es keines von Ihnen ist Geräte, die infiziert sind ... aber wenn dies der Fall wäre, hätten Sie immer noch ein Problem.

Warum sollten sie sich die Mühe machen, Sie zu benachrichtigen?

In der Vergangenheit waren ISPs diesbezüglich sehr nachlässig, aber da Malware und Botnets zu einer immer größeren Bedrohung werden, wird die internationale Gemeinschaft von ISPs immer energischer, ihre Kunden zu informieren und zu sensibilisieren oder selbst einem schlechten Ruf ausgesetzt zu sein.

Warum sollten sie sich die Mühe machen, Bots zu finden?

Oft ist es nicht der ISP, der die Bots findet, sondern einige Malware-Analysten und Ermittler - wie Cert-IN -, die die C & C-Serverinfrastruktur (Befehl und Kontrolle) oder die Bot-Kommunikation aufspüren und dann infizierte Peers finden und ISPs informieren dieser IP-Adressen, die dann über die Informationen (IP-Adresse zur ISP-Kundensuche) verfügen, um ihre Kunden informieren zu können.

Sie können einige interessante Blog-Beiträge von Malware-Analysten lesen, um dies besser zu verstehen:

6
nyov

Ist das ein Witz?

Dies ist zu 100% eine böswillige E-Mail.

Die (zu glückliche) Sprache sowie der Versuch, einem Benutzer zu erklären, was ein "Botnetz" ist, werfen zufällige beängstigende Dinge wie Erpressung und Verschlüsselung aus und fordern den Benutzer auf, nach "kostenloser Virenentfernungs" -Software zu suchen und diese auszuführen.

Ja, tolle Idee! (Nein, es ist eine schreckliche Idee).

3
Dog

Diese E-Mail enthält nichts, was für einen schwarzen Hut von Nutzen wäre, daher ist sie mit ziemlicher Sicherheit legitim. Sie haben etwas auf Ihrem System, das entweder versucht, andere Systeme zu infizieren, oder es kommuniziert mit einem bekannten Botnet-Befehls- und Kontrollserver, und ich würde denken, dass das erstere Szenario weitaus wahrscheinlicher ist.

2
Loren Pechtel

Die E-Mail scheint legitim. Aber es könnte von jemandem geschrieben worden sein, der zuvor für einen ISP oder andere Technologieunternehmen gearbeitet hat. Wenn Sie sagten, dass der Kundenservice dort schlecht ist, können Sie sie wahrscheinlich nicht anrufen, um zu bestätigen, ob sie diese E-Mail gesendet haben oder nicht.

Klicken Sie auf keinen Fall auf einen der Links in der E-Mail und befolgen Sie die Anweisungen der anderen oben genannten Personen zum Scannen Ihrer Systeme. Vorsicht ist eine gute Idee, aber ich persönlich denke, dass es nicht legitim ist.

2

Rufen Sie zur Bestätigung Ihren ISP an. Es sieht verdächtig aus, nur weil es sich um eine unerwünschte E-Mail ohne Personalisierung oder Informationen über Sie handelt, die sie haben sollten, wenn sie rechtmäßig Ihr ISP sind.

Sie würden sich nicht die Mühe machen, die Geräte ihrer Kunden zu überwachen, um Malware zu verfolgen, das ist nicht ihre Aufgabe.

1
captainobvious

Kann ein ISP dies wirklich erkennen?

Ein Kommentar zu dieser Frage. Möglicherweise hat ein ISP eine Beschwerde erhalten und leitet diese an Sie als Abonnenten weiter.

Ich überprüfe meine Server-Protokolldateien auf verdächtige Aktivitäten, z. B. den Versuch, auf den PHP-Administrator zuzugreifen. Wenn ich es sehe, habe ich ein Skript, das basierend auf der IP-Adresse eine E-Mail an die Missbrauchsabteilung des ISP sendet. Die E-Mail enthält die relevanten Protokolleinträge basierend auf der IP-Adresse. Ich bitte den ISP, seinen Kunden zu kontrollieren, und fordere ihn auf, nicht mehr zu versuchen, in meine Maschinen einzudringen.

In diesem Fall überwacht der ISP weder Ihre Verbindung noch Ihre Sitzungen. Sie reagieren einfach auf eine Beschwerde.

1
user29925

Könnte sein. Aber Klicken Sie nicht auf diesen Link!

Sicher. Die Leute hier haben sich durch die Details geschliffen und alles scheint legitim zu sein .

Das würde aber auch für jeden kompetenten Phish gelten. Wir sind verwöhnt worden und haben so oft inkompetente Phishes gesehen. Beachten Sie jedoch die Anrede der E-Mail: Wo ist der Eigenname von OP, den der ISP unbedingt kennen sollte? Die Kontonummer, die Sie XXX haben, sieht aus wie etwas, das von der E-Mail-Adresse abgeleitet werden kann.

Ein großer Teil des Vertrauens der Menschen besteht darin, keine Nutzlast zu sehen . Die angezeigte URL stimmt mit der Hover/Click-URL überein hier auf der ausgeschnittenen Kopie von StackExchange, da StackExchange eine Nur-Text-URL gesehen und heiß gemacht hat.

Ich jedenfalls habe kein Vertrauen in einen Scanner, der eine Liste von URLs für sicher erklärt. wie würde es wissen? Es kann keinen Cracker erkennen, der nur das Passwort einer Site kennt. Sein Mechanismus zum Wissen wird sicherlich eine gewisse Verzögerung haben. Wenn ich eine Website hacken würde, würde ich keine offensichtlichen Änderungen vornehmen, bis ich bereit wäre, die E-Mail zu sprengen.

Ich werde noch einen Schritt weiter gehen. Das Analysieren einer E-Mail bis zu diesem Grad lohnt sich nicht, da sie nicht "skaliert". Sie können sich diese Prüfung nicht für jede E-Mail leisten.

Wenden Sie sich an Ihren ISP - über unabhängige Kanäle

Verwenden Sie keine Kontaktinformationen in der E-Mail. Verwenden Sie Kontaktinformationen, zu denen Sie unabhängig gelangen, z. Aus ihrer legitimen Website.

Der Buchstabe könnte wahr sein - ist ziemlich wahrscheinlich wahr - und Sie müssen nachverfolgen. Der ISP kann Ihnen entweder a) mitteilen, ob es legitim ist oder b) welche Maßnahmen prophylaktisch (vorsorglich) zu ergreifen sind, falls es legitim ist.

Vergessen Sie nicht IoT-Geräte

Das kann alles sein, vom Kinderspielzeug über den intelligenten Wechsel zur IP-Kamera. Sehr viele von ihnen haben tatsächlich ein Mini-Unix-System an Bord, mit Standard-IP. Wenn sie in der Lage sind, über WLAN zuzugreifen, können sie gehackt werden und bösartige Dinge im Internet tun (als Nebenaktivität zu ihren normalen Aufgaben).