Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Mail von 1&1 zwecks Information über Virus: Kimwolf
Wenn man im Internet keine Pattern findet, kann man den Mitschnitt mitlaufen lassen. Kommt wieder eine Meldung, hat man deren Zeitstempel und kann in seinem Mitschnitt zu diesem Zeitpunkt nachschauen. Wüsste keinen anderen Weg.
@onlahm Wieso sollte der Benutzer nicht informiert werden? Das zerschlagene Botznetz kann auch neu aufgebaut werden oder übernommen werden. Die Maleware ist immernoch auf den Geräten vorhanden und versucht wohl die entsprechenden Endpunkte zu erreichen.
ich habe die Benachrichtigung ja nicht in Frage gestellt, das meinte ich nicht. Es ist aber doch davon auszugehen, dass die kompromittierten Geräte eher schon vorher betroffen waren und nicht erst jetzt, wo das Botnetz einen auf den Deckel bekommen hat. Denn die Forenlandschaft füllt sich jetzt mit diesen Threads.
@onlahm: Das hat damit zu tun, das beim Hochnehmen eines Botnets die Ermittler nicht einfach die C&C Server abschalten, sondern sie durch eigene Server ersetzen. Dadurch finden sie heraus von welchen IP Adressen Kontaktversuche in das Botnet unternommen werden. Darüber kann man dann die User informieren. Vorher hatte man die Möglichkeit nicht.
@TomH22 Ebenso könnte es auch zusätzlich sein dass Zieladressen/Domänen erst danach in IOC Listen aufgenommen werden welche die ISPs dann natürlich abrufen.
ich habe ebenfalls die email von ...@1und1.de erhalten, und da dort kein link drin steht den man gedrängt wird zu klicken lässt sich ja jeglicher verdacht auf scam oder phishing ausschliessen, somit bin ich über die Google suche hier bei euch gelandet.
ip war 84.xxxxxxx
zeitpunkt der 27. märz 19:26
ich hab leider xx geräte die ich nun in betracht ziehen muss, darunter viele verschiedene handys und auch samsung tv's..
hab nun mit malwarebytes und bitdefender begonnen die handys zu scannen, bisher nur 2 bedrohungen durch die apps dr.fone und Acrobat reader, letztere hab ich glaubich als gemoddete version runtergeladen also verständlich, bei dr fone kann ich mich schon garnichtmehr erinnern warum ich das überhaupt installiert hatte.
Man landet hier natürlich gleich im typischen Dilemna bei Malware Befall: Am häufigsten betroffen sind Anwender ohne technischen Background, die kaum in der Lage sind, eigene Analyse zu betreiben.
Im vorliegenden Fall ist es zusätzlich noch so, dass selbst die einschlägigen Security Blogs oder offizielle Stellen das BSI nur eher schwammige Informationen liefern.
norKoeri schrieb:
dann wirklich mein Tipp einen Paket-Mitschnitt laufen zu lassen.
Hast Du Infos wonach man im Paketmittschnitt wirklich suchen muss (z.B. IPs von C&C Servern)?
Es ist leider auch nicht klar, wie spezifisch die Mails der Provider sind. Meinen sie mit kimwolf wirklich kimwolf oder auch „kimwolf und Verwandte“, also ggf. alles was IPIDEA nutzt.
Entwickler, die einen IPIDEA Client in ihre Apps einbauen, bekommen dafür Geld, ähnlich wie wenn sie Werbung in ihre Apps einbauen.
Insofern sollte man die Apps auf seinen Android Geräten kritisch auf ihre Herkunft prüfen, besonders bzgl. günstiger SmartHome Produkte asiatischer Herkunft.
Kimwolf scheint aber auch in Geräten wie smarten Bilderrahmen zu stecken, die scheinbar oft auch auf Android basieren.
Wie ich in Post #42 schon schrieb, kommt wieder eine Meldung, hat man deren Zeitstempel und kann in seinem Mitschnitt zu diesem Zeitpunkt nachschauen. Wüsste keinen anderen Weg.
Ist das pratikabel? Ich habe den Packet Capture der Fritzbox länger nicht mehr ausprobiert, aber soweit ich mich erinnere streamt er die Pakete über per HTTP über eine offene Browserverbindung auf den Client. Also nichts was man so stabil über Tage laufen lassen kann, und es wird vermutlich auch eine Menge CPU Last auf der Fritzbox erzeugen.
Außerdem ist fraglich ob die Provider mehr als eine Meldung pro Kunde schicken. In der Vergangenheit hatte ich solche Meldungen mal bei meinen Eltern, seinerzeit hat die Telekom genau eine Nachricht geschickt.
Wie geschildert, ich kenne bisher keinen anderen Weg. Kann auch Deine Erfahrungen und Vermutungen nicht bestätigen. Wer keine FRITZ!Box hat, kann sich einen konfigurierbaren Switch holen, Port-Mirroring aktivieren, zwischen seine Endgeräte und Router setzen. Nachteil: Bei jenem Ansatz muss auch WLAN auf dem Router ausgeschaltet sein.
So mal an alle zur weiteren Information von meiner Seite. Ich habe dieser Tage mein altes Galaxy S10+ noch einmal herausgeholt und eingeschaltet, dann in das heimische W-LAN eingebucht. Gestern Abend bekam ich wieder eine Mail von meinem Provider 1&1 über Kimwolf. Nun habe ich den starken Verdacht, dass es sich um mein altes Galaxy-Smartphone handelt. Wie schon in anderen Kommentaren von mir geschrieben hat es vorher drei Jahre im Schrank gelegen und wurde in dieser Zeit nie benutzt. Es war nichts weiter online im W-LAN, außer das S10+. PC, Laptops, Fernseher und mein aktuelles S23+ waren weder eingeschaltet noch im heimisches Netz aktiv. Daher fällt mein Verdacht auf das S10+.
