ComputerBase Menü
Aktuelles

Mail von 1&1 zwecks Information über Virus: Kimwolf

be_myself

be_myself

Lt. Commander
Registriert
März 2012
Beiträge
1.620
Hallo zusammen
Habe heute früh eine Mail von meinem Provider 1&1 bekommen. Darin werde ich über einen Virus namens Kimwolf informiert, der an meiner IP Adresse festgestellt wurde. Zu der in der Mail angegebenen Uhrzeit und Tag, lag ich allerdings friedlich in meinem Bett und habe geschlafen. Alles war ausgeschaltet und das einzige was über Nacht an ist, ist meine FritzBox. Das W-LAN ist nachts auch ausgeschaltet. Heute habe ich mich mit 1&1, zwecks der Mail in Verbindung gesetzt, um abzuklären ob die Mail echt ist, ja die ist echt und kommt von 1&1 wurde mir bestätigt. Natürlich habe ich auch den Namen Kimwolf gegoogelt und herausgefunden das es eine Android-basierte Schadsoftware ist. Nur kann ich damit Null anfangen, denn ich habe keine Android-TV Boxen, Set-Top Boxen, digitale Bilderrahmen oder gar Smart-Home Geräte. Was sagt ihr dazu, wie ich mich eventuell verhalten, oder welche Schritte ich unternehmen sollte .
Danke im voraus..
Screenshot_20260330_070224_Gmail.jpg
 
Zuletzt bearbeitet von einem Moderator: (Bild mit Klarnamen durch Moderation entfernt)
Dann gibts mehrere Möglichkeiten:
  • Der genannte Zeitpunkt ist falsch
  • Es ist generell ein falscher Alarm
  • Du hast irgendein kabelgebundenes Gerät, das betroffen ist
So oder so: Das Botnetz ist zerschlagen - kritisch ist das also erstmal nicht.

Achtung: Du hast deinen Klarnamen im zweiten Screenshot!

@be_myself
 
  • Gefällt mir
Reaktionen: Scirca und be_myself
Hast du Android Geräte im WLAN? ^^ Völlig egal ob zu dem Zeitpunkt dein WLAN aus war oder nicht! LAN Geräte an der Fritte? Wireshark + Log. Lass paar Stunden laufen und schick mir den gespeicherten Log :) Dann kann ich dir sagen welches Endgerät es ist.
 
Zuletzt bearbeitet:
F1database schrieb:
Smartphone oder Tablet?
Zum Vergrößern anklicken....
Wollte gerade sagen, Handy / Tablet / FireTV / Waipu-TV Stick, etc.
Ergänzung ()

@chr1zZo Muss das sein? Es bietet 0 Mehrwert die Google KI Antwort hier reinzupasten, vor allem dann noch komplett 1zu1, er hat doch selbst geschrieben dass es eine Android-Virus ist.
 
  • Gefällt mir
Reaktionen: aluis, fixedwater, Vigilant und 3 andere
Habe das zweite Bild mit Klarnamen gelöscht.
 
  • Gefällt mir
Reaktionen: K3ks, AB´solut SiD, user321 und 3 andere
Wenn du keine Android basierten Geräte nutzt, würde ich einmal das W-Lan Passwort im Router ändern und gut ist es.
 
Du schreibst das du keine sebaraten TV Boxen hast... Aber vielleicht einen smarten Fernseher?
Die basieren so gut wie alle auf Android.

Auch wuerde ich mal nachschauen ob die WLAN Zeitsteuerung noch aktiv ist. Ich kenns noch von aelteren Fritzboxen, das die das WLAN aktiviert haben und auch Zeitsteuerung ausser Kraft gesetzt wird, wenn man den WLAN Knopf an der Box drueckt.

Zuguterletzt wuerde ich auf die Uhrzeit auch garnicht soviel Gewicht legen. Zeitzonen sind schwer :D Nicht nur fuer Ottonomalverbraucher, auch fuer groessere Firmen. Wenn das aus der Email dann UTC ist, waere das in deutscher Winterzeit 5:35 gewesen.
 
  • Gefällt mir
Reaktionen: JumpingCat
@Smily
Danke fürs löschen, hatte ich übersehen.

@millen @chr1zZo
Einen Tag vorher hatte ich mein altes Galaxy S10+ aus der Verpackung geholt und eingeschaltet. Es lag die letzten drei Jahre im Schrank und bekommt, seit sehr langer Zeit keine Updates mehr. Vielleicht ist das der Grund für die Mail? Das alte S10+ hatte ich vor drei Jahren auf Werkszustand zurück gesetzt und dann in den Schrank gelegt.

@Ranayna
Ich nutze einen Samsung Smart TV aus dem Jahre 2018. Das W-LAN meiner FritzBox schalte ich, abends vor dem Zubettgehen immer über mein FritzFon aus. Ich nutze keine Zeitschaltung dafür.
 
@JumpingCat
1. Mein altes Galaxy S10+ hatte ich, für zwei Stunden in mein W-LAN eingeloggt
2. Mein PC (LAN-Kabel) und meine beiden Laptops (W-LAN) sind mit meiner FritzBox verbunden
3. Mein Samsung-TV (Tizen OS) ist via LAN-Kabel mit der FritzBox verbunden
4. Mein Galaxy S23+ ist per W-LAN mit meiner FritzBox verbunden
 
@JumpingCat Ich denke die Erwähnung des WLANs zielt darauf ab, das die Mail ja Nachts kam und zu diesem Zeitpunkt kein WLAN fähiges Gerät diese Schwachstelle getriggert haben kann.

Ich bin aber der Meinung das Mail Zeitpunkt ungleich Erkennungszeitpunkt ist, also ich denke die werden die Mails einfach alle zu Lastschwachen Zeitpunkt rausschicken wenn in einem Zeitraum X die Erkennung angeschlagen hat.

Kannst dir ja mal nen Portscanner laden und deine Geräte im Heimnetz scannen ob irgendwo auf einem Gerät der Port 5555 offen ist, also der ADB Port.
 
be_myself schrieb:
denn ich habe keine Android
Zum Vergrößern anklicken....
Ähm, doch!
be_myself schrieb:
Mein Galaxy S23+ ist per W-LAN mit meiner FritzBox verbunden
Zum Vergrößern anklicken....

Das S10+, wenn es zurück gesetzt wurde, wahrscheinlich nicht. Aber wenn es zum Zeitpunkt passt, kann es sein.
Oder dein S23 ist verseucht.
Oder es ist ein Falschalarm schwer zu sagen.

Auf jeden Fall, es ist ein Android, egal in welcher Form.
 
  • Gefällt mir
Reaktionen: aragorn92
sikarr schrieb:
Woher will mein Provider wissen wenn ein Gerät mit einem Virus infiziert ist, wer ja noch schöner.
Zum Vergrößern anklicken....
Diese Meldungen sind nicht unüblich.
Natürlich weis der Provider was an Kommunikation über deinen Anschluss läuft und natürlich kann es erkennen wenn von dem Anschluss bekannte Botnetze angesprochen werden.

Glaubst du wirklich sowas ist nicht überwacht zum Schutze des Netzes?
 
  • Gefällt mir
Reaktionen: aragorn92 und JumpingCat
Ist eigendlich ganz einfach.
Die werden in den Zugriffsdaten (Die unweigerlich anfallen) einen Trigger haben, der bei bestimmten Zugriffsmustern einen Alarm ausloest.
Wenn von deinem Anschluss dann ein solches Muster ausgeht, gibts die Email.
Das wird alles durch ein sogenanntes SIEM laufen, da kannste drauf wetten. Die Daten werden sicherlich nicht lange vorgehalten werden (Datenschutz und Kosten), aber um im Durchlaufposten nach bestimmten Mustern zu suchen reicht es.

Es steht ja auch explizit drin dass sie nicht wissen welches Geraet fuer den Zugriff verantwortlich ist. Das koennen sie nicht wissen.
 
  • Gefällt mir
Reaktionen: grünerbert und aragorn92
sikarr schrieb:
Woher will mein Provider wissen wenn ein Gerät mit einem Virus infiziert ist, wer ja noch schöner.
Zum Vergrößern anklicken....
Der Provider bekommt in der Regel nichts davon mit, außer er wertet auch die DNS Abfrage oder die "Client Hello" Nachricht vom TLS-Handshake aus.

Es gibt aber im Internet sogenannte Sinkholes :D, wie es z.B. das Anubis Network betreibt. Von diesem bekommt der Provider die Meldung, dass eine DNS Anfrage aus seinem Netzwerk (IP Adresse) zu einem C&C / Malware Server stattfand. Um Schaden abzuwenden geht die DNS Abfrage im Anubis Network in die sogenannte Sinkhole. Der Provider schaut nach wer das war (IP Adresse, Uhrzeit) und informiert diese Person.

Leider informiert nicht jeder Provider seine Kunden.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: grünerbert und aragorn92
Hast du mal im Router (fritz.box) geschaut, welche Geräte es im WLan/Lan überhaupt gibt? Vielleicht hast du was nicht mehr auf dem Schirm...
 
Interessant, ich (Telekom-Kunde) habe am Freitag eine ähnliche E-Mail von abuse@telekom.de erhalten. Ebenfalls „kimwolf“, am 25.03.2026 um kurz nach 2 Uhr festgestellt worden – angeblich. Um diese Uhrzeit ist technisch gesehen nur ein LG-OLED-Fernseher mit aktuellster Firmware von 2020 mit Internet-Zugang, und im Router sind DoT-Einträge von AdGuard und Mullvad gesetzt, die sogar die Installation gängiger Apps auf dem Fernseher verhindern. Mir wäre nicht bekannt, dass LGs webOS auf Android basiert oder sich irgendwelche Schadprogramme ohne jedes Zutun auf diesen installieren?
Die einzigen Android-Geräte im Netzwerk sind zwei Pixel 9a mit jeweils GrapheneOS auf dem neuesten Stand, die recht minimalistisch eingerichtet sind, aber um diese Uhrzeit rein über Mobilfunk laufen, weil WLAN per Nachtschaltung deaktiviert ist.

Ich halte diese E-Mail daher auch für Spam oder „False Positive“ – oder ziehe die Möglichkeit in Betracht, dass ein anderer Haushalt gemeint ist, da bei DSL-/VDSL-Anschlüssen meiner Recherche nach keine öffentlichen IPv4-Adressen mehr zugeteilt werden und stattdessen via Provider Carrier‑Grade NAT (CGNAT) IPv4-Adressen von mehreren Kunden genutzt werden. Kann sowas sein? Kennt sich in dem Kontext jemand aus?
Ich hatte ja überlegt, bei der Telekom anzurufen, die Sache zu erörtern, doch dann entschied ich mich, die E-Mail einfach zu löschen. 🤔
 
  • Gefällt mir
Reaktionen: bossbeelze
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz