Michael Landenberger
2012-07-06 10:55:45 UTC
Hallo,
eben habe ich per TeamViewer auf den Windows-7-Rechner von Bekannten
zugegriffen (Fehlersymptom: Firefox friert sporadisch ein). Unmittelbar
Beginn der Teamviewer-Sitzung habe ich Firefox gestartet, um die Version
zu kontrollieren (ist aktuell). Dabei wurde www.google.de als Startseite
geöffnet. Um die Flash-Version zu prüfen, habe ich anschließend
<http://www.adobe.com/software/flash/about/> aufgerufen. Dabei stürzte
Firefox ab ("keine Rückmeldung"). Nach Abschießen des Firefox-Prozesses
war kein Browser und kein E-Mail-Programm mehr aktiv. Das einzige offen
sichtbare Programm mit einer Internetverbindung war zu diesem Zeitpunkt
nur noch TeamViewer. Die Flash-Version habe ich dann mithilfe der
Systemsteuerung herausgefunden. Es war die aktuelle.
Das ist aber nicht das Hauptproblem. Wie ich es bei ONU-Rechnern
routinemäßig immer mache, habe ich mir mittels netstat alle offenen
Verbindungen anzeigen lassen. Neben einigen unverdächtigen Verbindungen
wurde dabei auch eine Verbindung zur IP 188.160.37.19 angezeigt. Diese
IP hat <http://www.utrace.de/?query=188.160.37.19> als eine IP in Syrien
verortet, bei der es sich obendrein um eine Mobilfunk-IP zu handeln
scheint. netstat zeigte diese Verbindung als "hergestellt" an. Ich habe
daraufhin zunächst einen System-Scan mit Avira Free Antivir (mit
aktivierten Signaturen) gestartet, dabei wurde keine Schadsoftware
gefunden. Damit habe ich aber gerechnet ;-)
Hat jemand irgend eine plausible Erklärung für die mysteriöse Verbindung
nach Syrien oder muss ich davon ausgehen, dass sich der Rechner etwas
eingefangen hat? Google und Teamviewer greifen doch sicher nicht auf
syrische Server zu, schon gar nicht auf solche mit Mobilfunk-IPs. Es
wäre außerdem auch das erste Mal, dass mir Malware begegnet, die auf
einen via Mobilfunk angebundenen Host zugreift.
Trotz dieser beunruhigenden Erkenntnis habe ich zunächst Firefox incl.
Profile sowie den Flash Player deinstalliert und beides anschließend neu
installiert. Danach kam es einerseits nicht mehr zu Abstürzen und
andererseits zeigt auch netstat bisher keine Verbindungen nach Syrien
mehr an. Vielleicht ist das wichtig, um die Sache zu analysieren. Wenn
hier allerdings keiner eine plausible Erklärung für die merkwürdige
Verbindung hat, würde ich dem Besitzer des Rechners eine
Windows-Neuinstallation empfehlen.
Gruß
Michael
eben habe ich per TeamViewer auf den Windows-7-Rechner von Bekannten
zugegriffen (Fehlersymptom: Firefox friert sporadisch ein). Unmittelbar
Beginn der Teamviewer-Sitzung habe ich Firefox gestartet, um die Version
zu kontrollieren (ist aktuell). Dabei wurde www.google.de als Startseite
geöffnet. Um die Flash-Version zu prüfen, habe ich anschließend
<http://www.adobe.com/software/flash/about/> aufgerufen. Dabei stürzte
Firefox ab ("keine Rückmeldung"). Nach Abschießen des Firefox-Prozesses
war kein Browser und kein E-Mail-Programm mehr aktiv. Das einzige offen
sichtbare Programm mit einer Internetverbindung war zu diesem Zeitpunkt
nur noch TeamViewer. Die Flash-Version habe ich dann mithilfe der
Systemsteuerung herausgefunden. Es war die aktuelle.
Das ist aber nicht das Hauptproblem. Wie ich es bei ONU-Rechnern
routinemäßig immer mache, habe ich mir mittels netstat alle offenen
Verbindungen anzeigen lassen. Neben einigen unverdächtigen Verbindungen
wurde dabei auch eine Verbindung zur IP 188.160.37.19 angezeigt. Diese
IP hat <http://www.utrace.de/?query=188.160.37.19> als eine IP in Syrien
verortet, bei der es sich obendrein um eine Mobilfunk-IP zu handeln
scheint. netstat zeigte diese Verbindung als "hergestellt" an. Ich habe
daraufhin zunächst einen System-Scan mit Avira Free Antivir (mit
aktivierten Signaturen) gestartet, dabei wurde keine Schadsoftware
gefunden. Damit habe ich aber gerechnet ;-)
Hat jemand irgend eine plausible Erklärung für die mysteriöse Verbindung
nach Syrien oder muss ich davon ausgehen, dass sich der Rechner etwas
eingefangen hat? Google und Teamviewer greifen doch sicher nicht auf
syrische Server zu, schon gar nicht auf solche mit Mobilfunk-IPs. Es
wäre außerdem auch das erste Mal, dass mir Malware begegnet, die auf
einen via Mobilfunk angebundenen Host zugreift.
Trotz dieser beunruhigenden Erkenntnis habe ich zunächst Firefox incl.
Profile sowie den Flash Player deinstalliert und beides anschließend neu
installiert. Danach kam es einerseits nicht mehr zu Abstürzen und
andererseits zeigt auch netstat bisher keine Verbindungen nach Syrien
mehr an. Vielleicht ist das wichtig, um die Sache zu analysieren. Wenn
hier allerdings keiner eine plausible Erklärung für die merkwürdige
Verbindung hat, würde ich dem Besitzer des Rechners eine
Windows-Neuinstallation empfehlen.
Gruß
Michael