Sinkhole (Bots)

Internet Internet Sicherheit
#1

Hi,

eine Bekannte bekam gestern eine E-mail von ihrem Provider T-Com über einen Virus/Trojaner Befall ihres Rechners durch „Skinhole“.

Was ist das (Bots) genau?
Wie kommt „PC“ zu solch einem Teil? Einige Tage vorher hatte ich ihren Rechner noch mit dem Avira EU-Cleaner (erfolglos) überprüft.

lg Schoorsch

#2

Böse, böse
Hallo Schoorsch,

Ich habe leider keine guten Nachrichten.

Unter einem Bot (von englisch robot ‚Roboter‘) versteht man ein Computerprogramm, das weitgehend automatisch sich wiederholende Aufgaben abarbeitet, ohne dabei auf eine Interaktion mit einem menschlichen Benutzer angewiesen zu sein. Kommunizieren Bots untereinander, so spricht man von einem Bot-Netz oder Botnet. „Bösartige“ Bots werden beispielsweise zum Sammeln von E-Mail-Adressen für Werbezwecke sowie für das massenhafte unautorisierte Kopieren von Webinhalten bis hin zum systematischen Ausspionieren von Softwarelücken von Servern mit dem Ziel des Einbruchs in Server eingesetzt.

Soweit Wikipedia.

Bots können können gestohlene Login-Daten abliefern, an DoS (DDoS) Attacken teilnehmen (d.h. Server lahmlegen), rechtswidrige Inhalte verbreiten, Spam versenden uvm. Man kann erfolgte Angriffe nur bis zum Bot - in diesem Fall der befallene Rechner - rückverfolgen. Die Crux ist, dass man deine Bekannte eventuell belangen kann, wenn sie nichts tut.

Mir sagt jetzt Sinkhole (bots) auf die Schnelle nichts. Gibt es noch weitere Angaben um welchen bot genau es sich handelt? Was aber an der Vorgehensweise an sich nichts mehr ändert. Die ist ziemlich heftig, vor allem die Sache mit dem MBR:

Ich hier kann dir / deiner Bekannten nur raten, das System neu aufzusetzen (zweite Option unten). Partitionen löschen, neu erstellen, PC formatieren, MBR überschreiben (*), Betriebssystem vom Originalmedium neu installieren. (*)Du musst den MBR, den Master Boot Record überschreiben. Kurz und vereinfacht gesagt, ist der MBR der „Startbereich“ einer Festplatte. Auch hier werden Schädlinge gerne platziert. Diese würden überleben wenn man das BS neu installiert. Umgesetzt werden kann das von einem Linux Notfallstartsystem. (genaue Beschreibung hier).

Danach: Externe Festplatte (mit gesicherten Daten), USB-Sticks und alle am PC angeschlossenen Speichersysteme, evtl. in der letzten Zeit gebrannte CDs, müssen mit verschiedenen Antiviren nach Malware untersucht werden. Dazu musst die Autorun Funktion deaktiviert werden (http://www.pandasecurity.com/usa/homeusers/downloads…). Was du nicht retten solltest: Programme (exe / dll), Installationsdateien (exe, msi), Zip Dateien, alles was du wieder von woanders holen kannst (musik, videos, pdf,…)

Ziemlich heftig, was? Auf jeden Fall kann das System so nicht bleiben. Wenn Online-Banking oder ähnliches verwendet wird führt an einem sauberen Aufsetzen kein Weg vorbei!

Andernfalls: Eine andere Option wäre das Trojaner-Board. Ich musste es noch nie in Anspruch nehmen, was ich aber so lese ist die Hilfe recht kompetent und deine Bekannte kommt u. U. um ein Neuaufsetzen herum. Die Schritte sind allerdings mindestens ebenso technisch wie das von mir beschriebene Neuaufsetzen.

Nicht einfach, ein Fachmann wäre auch eine Option, die ich vllt. in diesem Fall in Anspruch nehmen würde.

Gruß
maira

#3

Hallo,
man müsste das Schreiben des Providers schon im Wortlaut zitieren um herauszubekommen, was da eigentlich los war. Normalerweise müsst angegeben sein, dass der Rechner versucht hat auf einen Server, den man als „Sinkhole“ bezeichnet, Kontakt aufzunehmen. Dazu muss sich auf dem Rechner eine Schadware befinden, anhand der verwendeten Serveradressen und den Ports kann man erkennen um welche Schädling es sich handelt; entsprechend sind die Maßnahmen, die nun zu erfolgen haben. Was können dies Schadprogramme angerichtet haben, welche Passwörter wurden ggf. ausspioniert? Das Entfernen der Software ist dabei wohl noch das einfachste. In der Regel müssen von einem sauberen System aus alle Passwörter geändert werden.

LG Culles

#4

Moin,

ich verwette meine dritten Zähne, dass die T-Com niemals Mails mit einem derartigen Inhalt verschickt.

Gruß Ralf

#5

ich verwette meine dritten Zähne, dass die T-Com niemals Mails
mit einem derartigen Inhalt verschickt.

Zähne verspielt Ralf,

E-Mail: [email protected]
www.t-online.de/abuse

Schick mir bitte Deine Zähne per Mail.

lg Schoorsch

1 Like
#7

‚Unser Abuse-Team ist Ihr Ansprechpartner bei Missbrauch von Diensten‘

ich finde kein T-Com abuse-Team.

Das ist nicht schwierig, einfach die Adresse, die Schorsch angegeben hat, verwenden:

www.t-online.de/abuse.

oder direkt

http://www.t-online.de/abuse-schuetzen-sie-ihren-pc-…

Die Kontaktaufnahme per mail ist übrigens Standard in solchen Fällen.

#8

Hei Ralf,

ich verwette meine dritten Zähne, dass die T-Com niemals Mails mit einem derartigen Inhalt verschickt.

Die verlierst du.
Das bekomm ich alle paar Wochen (weil mein Chef seinen privaten, hoffnungslos verseuchten Rechner auch über die Firma laufen lässt) - nicht nur per mail, sondern auch per snailmail mit „amtlichen“ Telekom-Briefpapier.

lg, mabuse