Viren, Spyware, Datenschutz 11.217 Themen, 94.227 Beiträge

T-Online warnt Kunden vor Schadsoftware auf ihren Rechnern?

InvisibleBot / 24 Antworten / Flachansicht Nickles

Ich hatte am Donnerstag den mittlerweile zweiten Bekannten auf der Matte stehen, der von seinem Internetprovider (T-Online) eine Mail bekommen hat in der es heißt sein Rechner sei von einer Schadsoftware befallen und Mitglied in einem Botnetz. In der Mail (4 Seiten lang) heißt es unter anderem, dass von seinem Rechner aus Spam-Mails versendet wurden in denen für Viagra und Glücksspiele geworben wird. Deshalb wurde der Zugriff auf sein E-Mail-Konto und einige Ports für den E-Mail-Versand gesperrt.
(Die Mail habe ich nicht gesehen, der Inhalt wurde mir so geschildert, auch von dem Anderen Bekannten - der hatte sein Schlepptop aber schon in Eigenregie neu installiert und mir erst hinterher von der Mail erzählt.)

Er soll seinen PC neu installieren, erst dann werden die Beschränkungen wieder aufgehoben.

Nun, ich hab mir die Kiste dann mal angesehen und konnte nichts feststellen. Er hat ein voll aktuelles Antivir drauf, alle Sicherheitsupdates sind im WinXP drin und die Windows-Firewall ist aktiv. Dazu ist er normal noch von seinem Router geschützt. Die Log-Datei von Antivir ist sauber, es wurde noch nie was kritisches gefunden. Er hat den PC auch regelmäßig alle 2-3 Wochen vollständig scannen lassen.
Hab die Platte dann an einen meiner PCs angeschlossen und den Norton 2010 von meinem PC sowie die Onlinescanner von Bitdefender und Kaspersky auf seine Platte losgelassen. Anschließend sicherheitshalber auch noch PC-Cillin und ClamAV von einer Knoppix-CD aus. Keiner hat etwas gefunden.

Dazu muss ich sagen, dass sein Internetanschluss nur von diesem einen PC genutzt wird, und das per Kabel, ein W-LAN Netzwerk hat er nicht. Also auch keine Möglichkeit, dass sein Anschluss von irgendjemand mitgenutzt wird.

Nun stellt sich mir die Frage, wie die Telekom eigentlich feststellt, dass eine Infektion vorliegt? Anlysieren die die SMTP-Ports und schauen nach was da versendet wird? Kann mir nicht vorstellen, dass die das dürfen... Und warum wird der Zugang zu seiner E-Mail-Adresse gesperrt? Wenn ein Trojaner drauf ist, der Spam raushaut, dann erfolgt das doch anonymisiert über den Trojaner selbst, und nicht über das auf dem PC eingerichtete Postfach, oder sehe ich da was falsch?

Er hat inzwischen mit der Telekom gesprochen und denen geschildert dass der PC überprüft wurde und offenbar sauber ist. Aber die wollen die Beschränkungen erst wieder aufheben, wenn der PC neu installiert wurde. Das bringt mich zur nächsten Frage: Wie bitteschön wollen die Telekomiker feststellen ob ein PC neu installiert wurde oder nicht? Das können die ja gar nicht, außer vielleicht sie sniffen aus der Registrierung des Betriebssystems bei MS den Installationscode heraus - der verschlüsselt übertragen wird. Das darf T-Online aber ganz sicher nicht. Und wenn die Registrierung per Telefon gemacht wird haut das auch nicht hin.

Also was soll das Ganze, könnt ihr euch einen Reim darauf machen? Viel Text, ich weiß - Danke fürs Lesen!

- Beat the machine that works in your head! -
bei Antwort benachrichtigen
speedy27 jueki „ Ich denke mir, ein User, der in seinem PC nicht nur eine Schreibmaschine sieht,...“
Optionen
...wenn mein Comp Teil eines Botnetzes ist, merke ich das u.U. gar nicht
richtig, vor allem wenn ich einen aktuellen - schnellen - PC habe.

Nun mache ich den Comp platt und spiele das Image zurück, dann ist doch der Comp immer noch eine Spamschleuder, oder nicht?
Botnetze, Viren und Trojaner siedeln sich heute im Allgemeinen im Betriebssystem ein. Um ein sauberes Betriebssystem zu erhalten, sollte eine Sicherung eingespielt werden, die nach der ersten Installation erstellt worden ist. Ein Sicherung des Betriebssystems nach einer Laufzeit von vielleicht einem halben Jahr einzuspielen macht keinen Sinn. Dort können schon jede Menge Schweinereien drin sein, die noch gar nicht bemerkt worden sind.

- die permanente Überwachung des Traffic.
Außer der (in meinem Blickfeld befindlichen) Traffic- Lumi des Routers verwende ich noch einen Traffic Monitor.

Lampen sind nicht überall vorhanden. Traffic-Monitore werden genauso von Botnetzen blockiert wie die Virenscanner. Auch die Internetseiten mit Viren und Trojanererkennung oder Abhandlung werden blockiert, sind also nicht mehr aufrufbar. Übrigens ein untrügliches Zeichen für Botnetzbefall.

Es wurde und wird nicht die Internet- Verbindung gesperrt.
Es wird das Mailkonto gesperrt!
Und das ist wohl etwas gang was anderes.

Wenn ein Provider eine Sperre wegen Spamschleudern ausspricht, dann ist es die Internetverbindung, die gesperrt wird. Botnetze bedienen sich im Allgemeinen nicht meines Mailkontos sondern bringen alles mit, um eigenständig und unbemerkt Mails zu versenden.

@Jokeman
Ich meinte damit, dass ein Neuaufsatz ohne aktiven Internetzugang gemacht werden sollte. Weil ja noch keine Schutzprogramme installiert sind.
Vorsicht ist sehr gut, aber wenn man hinter einem guten Router arbeitet, muss man nicht sofort mit einem Befall rechnen.
Ich betreibe jetzt seit etwa einem viertel Jahr meinen Haupt-PC absichtlich ungeschützt hinter einem Router um Win7 zu testen. Lediglich der Win - eigene Schutz ist aktiv. Bisher ist es mir noch nicht gelungen mit meinen Mitteln einen Malwarebefall nachzuweisen. Das soll aber keine Empfehlung für irgendjemanden sein, das nachzuahmen. Ich weiß was ich mache und weiß mir auch im Fall des Falles zu helfen.
bei Antwort benachrichtigen