Mail von 1&1 zwecks Information über Virus: Kimwolf

[JumpingCat]

Interessant, ich (Telekom-Kunde)

Ich halte diese E-Mail daher auch für Spam oder „False Positive“ – oder ziehe die Möglichkeit in Betracht, dass ein anderer Haushalt gemeint ist, da bei DSL-/VDSL-Anschlüssen meiner Recherche nach keine öffentlichen IPv4-Adressen mehr zugeteilt werden und stattdessen via Provider Carrier‑Grade NAT (CGNAT) IPv4-Adressen von mehreren Kunden genutzt werden.

Wie schließt du von das eine auf das andere?

1. Die Telekom vergibt noch ganz normale public IPv4 Adressen.
2. Natürlich dein Internet-Provider erkennen was für Traffik aus deinem DSL/Glasfaser-Anschluss Richtung Internet geht.

 

[Ranayna]

oder ziehe die Möglichkeit in Betracht, dass ein anderer Haushalt gemeint ist, da bei DSL-/VDSL-Anschlüssen meiner Recherche nach keine öffentlichen IPv4-Adressen mehr zugeteilt werden und stattdessen via Provider Carrier‑Grade NAT (CGNAT) IPv4-Adressen von mehreren Kunden genutzt werden. Kann sowas sein? Kennt sich in dem Kontext jemand aus?

Der Provider weiss ja welche Anschluesse hinter welcher CG-NAT IP haengen.
Der Zugriff kann auch ueber IPv6 passiert sein.
Also das alleine ist kein Ausschlusskriterium.

Wenn die Daten, wie @Helge01 erlaeutert, aus einem DNS Sinkhole kommen, dann wird das ganze aber tatsaechlich schon unpraeziser.

Das Kimwolf Netz wurde ja vor gut einer Woche hochgenommen:
https://www.heise.de/news/Aisuru-Ki...gegen-vier-gefaehrliche-Botnets-11218668.html

Vielleicht hat da auch einer seine Alert Regeln nicht im Griff Wenn die Server hinter Kimwolf hochgenommen wurden, vielleicht sind die IPs dahinter schon wieder woanders vergeben. IPv4s sind ja teuer geworden.

 

[Hardware-Fan]

mit aktuellster Firmware von 2020

2020 ist 6 Jahre alt, das bedeutet: haufenweise Sicherheitslücken!

Solche Geräte sind praktisch vollwertige Computer. Wenn die "offen wie ein Scheunentor" sind (womöglich auch noch Chinaware), solltest du sie vom Netz trennen! Einen Windows 7-Rechner würdest du ja auch nicht mehr betreiben.

Kauf dir ein Gerät mit gutem Support wie den Google TV Streamer, das ist der Nachfolger der bekannten "Chromecast"-Reihe. Mit zuverlässigem Update-Support hast du 10 Jahre Ruhe, und der Fernseher kann wieder streamen.

 

[be_myself]

@aluis
Siehe meinen Kommentar #11

@sikarr @Txxxxs
Nach telefonischer Rücksprache mit 1&1, wurde sie von denen versendet.

 

[Txxxxs]

2020 ist 6 Jahre alt, das bedeutet: haufenweise Sicherheitslücken!

Solche Geräte sind praktisch vollwertige Computer. Wenn die "offen wie ein Scheunentor" sind (womöglich auch noch Chinaware), solltest du sie vom Netz trennen! Einen Windows 7-Rechner würdest du ja auch nicht mehr betreiben.

Kauf dir ein Gerät mit gutem Support wie den Google TV Streamer, das ist der Nachfolger der bekannten "Chromecast"-Reihe. Mit zuverlässigem Update-Support hast du 10 Jahre Ruhe, und der Fernseher kann wieder streamen.

Warum sollte ich die „aktuellste Firmware von 2020“ installieren? Der Fernseher wurde 2020 erworben, die Firmware ist die aktuellste Version, die LG für das Modell anbietet. Ich meine, dass er erst vor wenigen Wochen ein Update bekam.

@sikarr @Txxxxs
Nach telefonischer Rücksprache mit 1&1, wurde sie von denen versendet.

Hast du gefragt, wie präzise oder verlässlich diese Erkennung ist? Was empfehlen sie, wenn man die Meldung bekommen hat, aber eine Infektion o. ä. gänzlich ausschließen kann? 🤔😬

 

[Hardware-Fan]

Warum sollte ich die „aktuellste Firmware von 2020“ installieren?

Du hast geschrieben:

"Fernseher mit aktuellster Firmware von 2020 mit Internet-Zugang"

und das ist ein No-Go. Wenn jemand einen Windows 7-PC betreibt, gibt es einen Shit-Storm. Die "smarten" Geräte ohne Updates sind aber effektiv das Gleiche.

Scheinbar meintest du etwas Anderes, nämlich einen "Fernseher von 2020 [wobei das Herstellungsjahr keine Rolle spielt], der die momentan aktuelle Firmware drauf hat [hier wird's interessant, wie alt das "aktuell" tatsächlich ist. Das könnte 2026 heißen, oder auch 2023, und wäre damit nicht aktuell]

 

[Txxxxs]

Scheinbar meintest du aber etwas Anderes, nämlich einen "Fernseher von 2020 [wobei das Herstellungsjahr keine Rolle spielt], der die momentan aktuelle Firmware drauf hat [hier wird's interessant, wie alt das "aktuell" tatsächlich ist. Das könnte 2026 heißen, oder auch 2023, und wäre damit nicht aktuell]

In unserer schnelllebigen Zeit, in der Absatzzahlen wichtiger sind als die Pflege von Produkten, ist das Herstellungsjahr m. E. durchaus von Relevanz, denn egal ob Smartphone oder Smart-TV, die Hersteller neigen dazu, die Software-Unterstützung schnell einzuschränken, da das neuere Modell Priorität hat. So auch bei meinem Fernseher, der zwar noch ab und an Firmware-Updates erhält, schon länger jedoch keine neue webOS-Version. Ich habe eben kurz auf lg.com nachgeschaut: die aktuellste Version scheint von Mitte September 2025 zu sein, und die dürfte drauf sein, ebenso sind die 2–3 Apps, die wir installiert haben, aktuell, zumindest laut „LG Content Store“.

Wie dem auch sei, und auch um auf das Thema zurückzukommen: Ich bezweifle, dass mein Fernseher Teil des Botnetzes ist oder war, m. E. passt auch kein anderes der Geräte in unserem Netzwerk zum BSI-Steckbrief der Schadsoftware.

 

[millen]

@Hardware-Fan Er meint es doch anders, er sagt doch Anschließend „Fenseher aus 2020 mit aktuellster Firmware“

 

[be_myself]

Das S10+, wenn es zurück gesetzt wurde, wahrscheinlich nicht. Aber wenn es zum Zeitpunkt passt, kann es sein.

Also mein altes Galaxy S10+ habe ich 2023 abgeschaltet, als ich mein Galaxy S23+ in Betrieb genommen habe. Bevor ich das S10+ damals in den Schrank gelegt habe, habe ich es vorher auf Werkseinstellung zurück gesetzt. Seither hat es, bis letzte Woche Donnerstag den 26.3.2026 dort gelegen und wurde nie benutzt oder angefasst.
Am 26.3.2026 habe ich es aus dem Schrank geholt, den Akku geladen und eingeschaltet. Bei der erneuten "neuen" Einrichtung des S10+, damit ich es benutzen konnte weil vorher Werkseinstellung, habe ich es mit meinem heimischen W-LAN verbunden. Es war circa drei bis vier Stunden im W-LAN und dann hatte ich, eine SIM Karte eingelgt und es aus dem W-LAN ausgeloggt. Danach habe ich es wieder ausgeschaltet (am 26.3.2026) und seither liegt es wieder im Schrank.

@Txxxxs
Der Kundenbetreuer von 1&1, mit dem ich gesprochen habe, konnte mir auch keine weiteren Informationen zu diesem Ereignis sagen, außer das die angesprochene Mail von 1&1 stammt und es seine Richtigkeit hat.

Der Haken an der Sache ist, wie immer, das ich während meiner Arbeitszeit nichts unternehmen kann, außer in meinen Standzeiten hier zu interagieren. Ich bin täglich von 7:45 Uhr bis 19 Uhr unterwegs (7 Uhr aus der Wohnungtür und 20 Uhr wieder zu Hause) und das die nächsten sieben Tage. In sieben Tagen dann habe ich mein nächstes frei und habe dann Zeit für alles. Jetzt ist es 22:25 Uhr und ich schreibe diese Zeilen, danach muss ich mich hinlegen damit ich morgen wieder fit bin. Es ist eine verdammte Krux...

 

[TomH22]

Nach meiner Recherche ist kimwolf mit dem IPIDEA Netzwerk verknüpft:

https://www.bsi.bund.de/DE/Themen/V...-Botnetze/Steckbriefe/IPIDEA/ipidea_node.html

Auch wenn kimwolf überwiegend auf „illegalen“ Android TV Sticks chinesischer Hersteller vorkommt, betrifft IPIDEA WebOS TVs.

Die Frage ist, wie gut die Analyse Tools der Provider das differenzieren können. Sprich, der Kimwolf Hinweis kann auch von einem LG TV ausgelöst worden sein.

 

[be_myself]

... kann auch von einem LG TV ausgelöst worden sein.

Ich besitze einen Samsung Smart-TV mit Tizen OS aus dem Jahr 2018.

 

[TomH22]

Ja, aber hier hat ja noch ein anderer User geschrieben, der eine ähnliche Message von seinem Provider erhalten hat, und der hat ein LG TV.

Außerdem habe ich noch nicht alles zum Themenkomplex IPIDEA recherchiert, es ist durchaus möglich, dass es auch noch Varianten für Tizen gibt, oder noch andere Infektionswege.

 

[empower]

hab von der telekom so eine nachricht bekommen zu einem virus names bumblebee oder so ähnlich. ein laptop hatte tatsächlich viren drauf im cache des firefox browsers.

 

[be_myself]

Wireshark + Log. Lass paar Stunden laufen

Ich habe gestern Abend noch schnell Wireshark auf dem Laptop installiert. Habe mein W-LAN ausgewählt, circa drei Stunden laufen lassen und anschließend den Log gespeichert. Hoffe ich habe es richtig gemacht. Bin allerdings heute bis 20:30 auf Arbeit.

 

[Ranayna]

Sorry, wenn du dir um Datenschutz sorgen machst, schicke kein Wireshark Log an irgendwelche Leute die du nicht kennst.

Da steckt im Zweifelsfall sehr viel an Informationen drin die auch ziemlich kritisch sein koennen.

Wenn du Wireshark aber auf dem Laptop laufen lassen hast hilft das eh nicht, es sei denn das Laptop ist der Ausloeser der Meldungen.

Wenn, dann musst du das auf dem Router laufen lassen, auf dem WAN Interface am besten. Da wird dann saemtlicher Internetverkehr mitgeschnitten.

 

[millen]

Die FritzBox z.B. kann ja wireshark, lässt sich über die support Seite der Box starten.

 

[TomH22]

Da steckt im Zweifelsfall sehr viel an Informationen drin die auch ziemlich kritisch sein koennen.

Sofern das Log richtigerweise vom WAN Interface des Routers gemacht wurde, kann das Risiko vertretbar sein, da heutzutage ja fast alle Datenströme ins Internet per TLS verschlüsselt werden.

Ich würde aber dann eher empfehlen, mit dem Helfer z.B. eine Screen sharing Sitzung zu machen, in der man gemeinsam mit Wireshark schaut, anstatt einfach ein komplettes Log zu schicken. Bei dem vorliegenden Problem müsste man ja nur nach den bekannten IP Adressen von den C&C Servern bzw. des Sinkholes schauen.

Ich vermute der Traffic zu den C&C Servern ist auch per TLS gesichert, sodass z.B. tiefere Analysen am WAN Port nicht möglich sind.

 

[Theo Blum]

ich habe auch Nachricht bekommen, von 1 & 1, um 02:01 am 27.03.2026, über Virus Kimwolf, das Email ist aber am 29.03.2026, also 2 Tage später; auch IP mit 79 angefangen, finde ich etwas seltsam, denn haben unsere Handys i. d. R. IP mit 1xn.xxx.xxx.xxx; TV-Boxes sind nachts von Stromnetz getrennt.
Ich habe das "verdächtige" Handy erst von Netz getrennt, werde die Fotos auf USB übertragen und auf Werk zurücksetzen.

 

[millen]

@Theo Blum Nicht die internen 192.168.x.x IP-Adressen mit deiner Public IP 79.x.x.x durcheinanderbringen.

Die Meldung von 1und1 bezieht pauschal erstmal darauf das von deiner öffentlichen IP mit 79.x.x.x verdächtiger Traffic ins Internet ging, alle Geräte in deinem LAN, also hinter deinem Router nutzen diese 79.x.x.x IP für die Kommunikation ins Internet, die 192.168.x.x Adressen dienen nur der internen Kommunikation hinter deinem Router.

 

[norKoeri]

schnell Wireshark auf dem Laptop installiert

Das hilft nicht, denn der Datenverkehr Deines Heimnetz kommt nicht an Deinem Computer vorbei (außer Du schneidest das WLAN passiv mit, also im Modus Monitor). Schlauer ist, direkt auf der FRITZ!Box mitzuschneiden, also in deren LAN: fritz.box → (linke Seite) Hilfe und Info → (ganz unten) FRITZ!Box Support → Paketmitschnitt → LAN. Und bitte nicht WAN, sondern das LAN-Interface, weil Du sonst die interne IP-Adresse nicht mehr siehst.