Wie oder mit welchem Tool Android auf Spyware/trojaner überprüfen?
Hallo,
bekomme seit heute aus meiner Kontaktliste (WhatsApp) von verschiedenen Personen einen Link (immer mit neuer weiterleitung) der mit 'wp20 . ru' anfängt.
Seitdem ist meine Google Suche (obwohl .de Seite) immer auf english und wird im Darkmode dargestellt, obwohl die Einstellung Dark mode ausgeschaltet ist.
Meine Location ist auf einmal Lemberg (Ukraine) nähe Polen.......usw
Was tun ? Alle Geräte aus meinem Netzwerk überprüfen (Pc handy´s etc) ?
Und vor allem, wie gehe ich am besten dabei vor und welche tools benutzt ihr oder würdet ihr mir empfehlen ?
Meine Vermutung, dass die Infektion schon beim erhalten des Links bw öffnen des Chats stattfindet. Schliesslich baut WA eine verbindung zu dem Endpunkt auf, um zu prüfen ob der link "aktive" ist.. bitte um Korrektur wenn ich falsch liege =)
Grüße und schönen Sonntag
PS
Ich hab den besagten Link nicht geöffnet. Natürlich auch schon google nach ner Idee gefragt und auch herausgefunden dass es sich bei diesem ***** ding dem anschein nach um ein Browser-Hijacker handelt.. .
Jedoch stehe ich bei der Wahl einer guten Software vor einem Rätsel. Es gibt unzählige ... etliche Testberichte welche denn nun die Beste Software sein soll.. und wenn man sich dann dazu die passenden Bewertungen etc anguckt und liest, hat man meist ein mulmigeres Gefühl als vorher.
Hier der Source Code wenn man die website vom Hoster des ganzen aufruft.
0‚Æ0‚M �³½ßø§„[¼é A5³JE0
*†HÎ=0O1
0 UUS1)0'U
Internet Security Research Group10U
ISRG Root X20
200904000000Z
250915160000Z021
0 UUS10U
Let's Encrypt1
0 UE10v0*†HÎ=+�"b�$\-¢*ý
K¦]—s'1¬² ibïe覰ð¬KŸÿ
pÓ˜/Mü�›7ðtW2—.ï*C%£ûn4'öO~iÓ™^ë$G’Á$›æ±!Á$ühÌ iºXõ"÷tÆ£‚0‚0U
ÿ†0
U
%0++0U
ÿ0ÿ�0
U
Zóí+ü6Â7y¹R0êToÏUË.¬0 U
#0€|B–®ÞKH;ú’øžŒÏm‹©r7•02+&0$0"+0†http://x2.i.lencr.org/0'U
0
0
†http://x2.c.lencr.org/0"U
00g
0
+‚ß0
*†HÎ=g�0d0{tÕRaþ
º?�óט„ÙW.½éœ\H!ò˳`rŽ—ÖOÊDöBÉÓ{†©0Z±±´íê`™ ±8Ê= &¸în-JöÆf 3šÛ’JÕõ)Æpb(º#ŒÏ=/Ë‚é
Das ist ein Script einer infizierten Seite
und hier ein Bild meiner Einstellungen im Firefox und ein kurzer Auszug aus dem Protokoll der FritzBox
Was für einen Link hast du den bekommen?
http : / / wp20 . ru/ f4 89887348
in der vorschau wird obi.de angezeigt usw, jedes mal ne andere Seite.
3 Antworten
Das mit WhatsApp geht ja einfach mit deiner Telefonnummer und es wird wahrscheinlich ein bot oder botnetz dir diese Links senden.
Also ignorieren bis es aufhört oder falls WhatsApp eine Einstellung hat fremdes automatisch zu blockieren diese nutzen.
Du kannst natürlich auch zu O2, Vodafone oder wo auch immer du deine Nummer hast hingehen und sie ändern lassen.
Ich nutze zwar kein Google aber die Suche lässt sich bestimmt einstellenund ob dein Konto betroffen ist findest du unter deinem Konto beim Sicherheitsreiter.
Zitat:
Meine Location ist auf einmal Lemberg in Polen.......usw
Usw?
Das wirkt seltsam aber du hast keinen Proxy oder vpn der deine Verbindung nutzt?.
Ich würde erstmal alles richtig einstellen, im Konto nachsehen ob eine App oder irgendwas in deinem Konto ist das nicht da sein sollte und danach mit einer Firewall wie Firewall No root gucken ob was auffällig ist.
Du kannst dein Handy zurücksetzen wenn du meinst da ist was gefährliches drauf.
LG
Sind die Suchanfragen im inkognito Modus auch verstellt oder auf deutsch?
DNS Einstellungen im Router und Browser und Windows noch gleich
Wireshark ist nicht das einfachste das ist klar jedoch wird das nur helfen wenn du gut filtern kannst oder jemand dir da hilft da dort mit Windows zuviele Pakete sind.
Es gibt bestimmt Leute die dir da helfen können aber ob jemand tausende Pakete für jemand fremdes durchsucht und das for free und ob er was findet, naja.
Das mit dem inkognito Modus ist um zu gucken ob dein Google Account das Problem ist.
Wenn du im inkognito Modus alles normal siehst könnte dies auf etwas im Account hindeuten.
Was hast du denn für nen DNS Server überall und DNS ober https?
Guter Tip danke, inkognito Modus ist ohne Probleme auch auf Deutsch.
DNS im Router ist Standartmäßig durch den Provider gesetzt, und die genaue adresse sehe/ finde ich nicht.
Wie ich das bei Windows hier überprüfe muss ich auch google fragen^^
eben, könnte es auch mit Linux laufen lassen. Aber das filtern will nicht so.^^ Hab mich damit zu wenig befasst.
Also eigentlich hab ich nirgendwo etwas verändert und alles auf standart.. Handy wie Router etc. Bis auf die Ps4, da nutze ich die google dns oder cloudflare 1.1.1.1
was meinst du mit DNS über HTTPS ? Sorry mir raucht der Schädel^^
DNS bei windows ist auf fritz.box und der standart ip gesetzt. Wenn ich jetzt auf die Fritzbox zugreifen möchte, geht dass nur noch über http nicht s und mir wird eine warnung in der adresszeile angezeigt (unsichere Verbindung). Denke die erscheint aber weil kein https möglich ist.
Wenn der inkognito Modus alles auf deutsch hat sieht es mehr nach einem Problem des Google Kontos aus oder Sachen die im Browser gespeichert sind(Mal alle Daten löschen evtl und neu anmelden?).
Würde erklären warum mehr betroffen ist was ein gutes Zeichen ist.
Wenn nichts umgestellt ist sollte Windows das vom Router nehmen also der DNS Server von Vodafone oder was immer du nimmst.
Du kannst im Browser mal DNS over https nutzen und gucken ob du damit wieder alles hinbekommst(DNS würde ich 1.1.1.1 1.0.0.1 nehmen).
Sind die Probleme auch in anderen Browsern?
Dns über https ist das dein Browser selbst den DNS Server fragt.
Also normalerweise fragst du Hey wo ist YouTube und Windows sagt es dir jedoch wird bei DNS over https Windows ignoriert und dein Browser fragt selbst den DNS Server(das ist sehr vereinfacht formuliert aber soll ja nur ein bsp sein).
Im Browser solltest du das einstellen können unter Verbindung da steht nochmal eine Beschreibung
Ich kenne mich mit Fritzbox nicht aus aber ob die deine locale Verbindung verschlüsseln oder nicht muss nichts heißen.
Darkmode im Chrome (google Konto der Freundin), Seiten alle auf Deutsch. Sonst auch keine veränderung. Wobei wir da mit dem Darkmode schon länger Probleme hatten.. also würde ich sagen chrome ist ok. Edge nutze ich nicht, aber ist auch normal(weder darkmode noch Sprache auf english).
Gut zu wissen, da solltest du erstmal nichts eingeben.
Also, zwingt dein Router zu https oder wenn du http aufrufst bleibt er bei http?(also mit einem anderen Gerät)
Die Einstellungen im Firefox sind verändert.
meine Einstellungen, sind normalerweise: kein Proxy.
Bei Datenschutz und Sicherheit, wurde der "nur https Modus" deaktiviert.
Also, zwingt dein Router zu https oder wenn du http aufrufst bleibt er bei http?(also mit einem anderen Gerät)
Ja, wenn ich http aufrufe (http www google de) wird auf https umgeschaltet.
Sogar auf meinem jetzigen Gerät komischerweise
Hmmm, es wirkt seltsam.
Einziges spricht dafür das es der Browser ist und anderes das es das Google Konto ist.
Ein Wurm ist auch möglich nur ist es sehr unwahrscheinlich sich was einzufangen das auf mehreren Systemen läuft da es normalerweise mehr arbeit als Gewinn ist vorallem da sie dich ja nicht zu erpressen versuchen wenn da Schadware ist.
Ist was auffaliges bei Google?
https://myaccount.google.com/device-activity?continue=https%3A%2F%2Fmyaccount.google.com%2Fsecurity
Hast du einmal alle Daten gelöscht außer Login-Daten damit man nichts wichtiges in der Lage eingibt.?
Vielleicht ein Proxy Virus.
Die stellen einen unverschlüsselten Proxy bei dir ein wodurch dein Traffic mitgelesen werden kann.
War nur https früher an so das jede nicht verschlüsselte Seite blockiert wurde?
Meinte jetzt deinen Router Google und Co lassen dich aus Sicherheitsgründen nicht auf http deswegen dieser Test nochmal bei deinem Router.
Korrektur habe gerade erst das Bild geöffnet. Die Proxy Einstellung ist normal, also das Proxy vom System genommen wird, kannst in Windows aber mal gucken ob ein Proxy gesetzt ist.
Aber warum ist unten cloudflare ausgewählt ? Da wurde doch auch der wurm gehostet, wenn ich das richtig analysiert hab.
unter nslookup
kommt
fritz.box
und die ip aus meinem netzwerk xy.xy.xy.1
Ich meinte Windows Einstellungen > Proxy-Konfiguration. Sollte in der Einstellungssuche unter Proxy schon finden lassen
steht auf automatisch erkennen. Ansonsten alles ausgeschaltet bzw keine Einträge.
bisher konnte ich nix finden.. jedefalls keine verdächtige App. Bis auf ein zwei Spiele, von bekannten publisher. Und die Standartapps nix installiert.
https wp20 ru f385217405
der link wurde einem Kumpel gerade geschickt, mit ner weiterleitung zu nem "video" ^^
Sag deinen Kumpels lieber das sie das nicht verbreiten sollen, das wird sonst noch richtig mies enden für viele(wird wahrscheinlich wieder eine Massenverbreitung).
Ist im Router in den logs was auffälliges?
Das habe ich, es sind nicht nur "Kumpels"... das ist ja dass was mich so fertig macht. Die Rede ist von Erwachsenen Personen, die nach meiner Erklärung wie gefährlich solche Sachen sein können..
Dann kommen aber solche Antworten.
"Ach, bei mir können die gerne das Handy durchsuchen, da finden die nix."
"Oder, ich hab wichtigeres zu tun als mich um Viren zu kümmern."
usw..
UNFASSBAR für mich :D
..ja Router ist verdächtig..
daten hab ich noch nicht gelöscht, versuche ich jetzt. Beim Gkonto ist alles ok, jedenfalls keine fremden Geräte. Und der Standort der letzten Anmeldung ist Deutschland. Beim Handy als auch beim PC
Könntest du die Bilder in die Frage einbinden das ist sicher hilfreich für weitere die Antworten wollen.
Naja solche Leute sind dumm. Frag die Mal nach Passwort und Nacktfotos die sie mal gesendet haben, haben ja nichts zu verbergen xD
Sind alle Geräte davon betroffen? Vielleicht ist es ein Problem des Routers (wäre zumindest gut wenn nur der Router betroffen ist).
Es wirkt immer mehr wie ein Wurm aber ich sehe keinen Grund normale Leute mit einem Wurm zu infizieren das bringt kaum Gewinn.
Das Konto ist sicher, gut, wenn es ein Wurm ist sollte in den logs zu sehen sein das dein Handy was auf den PC sendet.
Natürlich, mach ich direkt. Hab auch ein script von ner infizierten Seite, dass man sich mal zusammen angucken könnte.. Da ich im Moment Javascript am lernen bin, ist dass eine super Aufgabe.^^
Ich frage dann immer, warum macht ihr die Haustür hinter euch zu, oder gebt verdeckt die Pin eurer ec karte ein.
Das lustige ist, die meisten dieser Personen nutzen Kameras und Alarmanlagen auf ihrem Gelände. Sobald es etwas dunkler draussen wird werden Fensterläden geschlossen damit niemand sie beobachten kann etc.. ^^
Aber beim Handy, ist alles egal (solange die Person nicht dass Gerät in der Hand hält *Kopfschüttel*) .. ohne Worte
Sobald meine Frau zuhause ist, werde ich alle Geräte testen.
Ich hab die Daten im Browser gelöscht, Darkmode is ausgeschaltet und google nervt wieder wie gewohnt mit seinen cookie einstellungen =)
Schwierig, ich schreibe Schadcode aber Defensive und Analyse tue ich mich schwer aber du kannst den infizierten Code Posten und fragen was er macht und deine theorien mit äußern.
Naja Leute haben keine Ahnung wie wichtig das ist, die denken egal sind nur Apps und Bilder wissen aber nicht das man damit die ganze Existenz zerstören kann.
Nicht alle, nur eines was nicht infiziert ist oder VMware, nicht das es sich verbreitet und alles zurück muss, man weiß nie was es ist ohne es zu finden.
Nutze weder Proxy noch vpn und auch kein torbrowser oder sowas =)
Und nein, tatsächlich schicken die Personen den Link wirklich selbst weiter. Anscheinend steckt hinter der weiterleitung ein Blödsinn was sie interessiert =)
Ich erkenne die Links in meiner Statusleiste und lösche die chats, bevor ich antworte um von dem wurm zu erzählen..
Also du hast nichts in der Verbindung geändert das ist gut zu wissen(nicht böse sein wenn ich immer schlechte Vorurteile habe durch manche Fragen von früher hier).
Wieso denkst du das die Personen die nächsten selbst weiter senden?
Man kann ja auch (menschlich) programmieren. Also Link nehmen random Opfer aussuchen und random Zeit zum senden deswegen interessiert mich warum du denkst das dahinter ein Mensch ist?
Du antwortest denen?
Was hast du eigentlich gemacht bevor das angefangen hat zu starten?
nichts, nachdem die erste Nachricht eingegangen war und ich den Link angezeigt bekam... inklusive der kurzen Beschreibung und dem Vorschaubild, dass macht mich skeptisch und ich fing an nach wp20 wurm trojaner usw zu googlen..
Daher meine Annahme dass die Geräte sich beim öffnen des chats schon infizieren.
Weil der Link von Personen geschickt wird die ich kennne, die mir dann auch bestätigen dass sie den besagten Link selbst geschickt haben.
Wenn ich einen Link bekomme der mir nicht vertraut erscheint, ist immer meine erste Frage, wennn ich die Person kenne, ob sie das wirklich geschickt hat.
Und bei so einer komischen Adresse, vor allem zum jetzigen Zeitpunkt, sollte man etwas aufmerksamer sein. =)
Du kannst Mal mit virustotal oder hybrid Analytics gucken.
Beim öffnen von Chats passiert nichts und bei der Verbindung kann ich nicht sagen was passiert hab dir aber mal die Seite hochgeladen, das Sample.
Hast du die Person gefragt warum die dir das gesendet hat?
Entweder die Person merkt nichts schlechtes daran(was dumm wäre)
Oder sie macht es mit Absicht.
Oder jemand anders sendet es über ihn via simswapping oder ähnlichem.
Das stimmt aber leider fallen Leute noch darauf rein :/
Nein es ist gerade ein Phänomen :D
Sie wissen es wirklich nicht besser. Und es stecken auch keine bösen absichten dahinter. Da ihre weiterleitung ja funktioniert hat ...anscheinend. Dass unter dem Obi de Bild ein russischer Link erscheint, wollten sie wohl nicht sehen ^^
...und es ist nicht nur einer. Es sind viele verschiedene und ich höre auch gerade aus dem bekannten Kreis, dass noch mehr betroffen sind.
Dann kann es gut sein das AV Programme das schnell entdecken und hoffentlich beheben.
Das Script oben im Anhang stimmt so nicht.
War ein copy´n´paste fehler. Leider ist die Seite des letzten Links offline. Sobald ein aktueller Link vorliegt werde ich das Script hier zwecks gemeinsamer Auswertung hier Posten. Danke für eure Hilfe
Am Pc hat mir jetzt für erste geholfen, dass alle Daten (außer Log In) gelöscht wurden. Am Handy bin ich mir nicht so sicher, erstmal abwarten. =)
Am Handy hab ich verschiedene AntiViren tools getestet, jedoch alle ohne "Erfolg".
Moin,
hab jetzt herausgefunden (denke ich zumindest) dass das Script mit der wscript.exe von Windows in Verbindung steht. Hab diesen Dienst mit einem kleinen Eintrag in im RegEdit deaktiviert. Und hoffe dass jetz alles weiter "normal" bleibt.
.Ru Links die http benutzen würde ich nie öffnen, vielleicht war es eine netcat Attacke wobei der Angreifer meistens vollen Zugriff auf ihr Gerät hat. Wegen den Script kann ich nichts sagen, der ist encrypted, aber ich kann die Empfehlen, egal ob Dateien oder Links geh zu VirusTotal, dort kannst du deine Datein und links einfügen und prüfen lassen. Das dauert meistens nur ein paar Sekunden, und ist Kostenlos.Auch dir ein VPN zu besorgen und dein Browser zu TOR zu wechseln ist empfehlenswert.Mfg
Da steckt ja das Problem dahinter. Ich habe keinen und vor allem kein .ru link der so komisch aussieht angeklickt. Trotzdem traten die genannten Probleme auf =(
lemberg = Ukraine .. dafür muss ich mich erstmal entschuldigen.
Das ist es ja, die Suche steht auf Deutsch und ich benutze auch die .de Domain. Darkmode ist auch ausgeschaltet. Bei jeder neuen Suchanfrage erscheint die Antwort wieder in english und der Darkmode bleibt unverändert..
Problem besteht jetzt auch am Pc, suche plötzlich auf english.. Location, naja is ja beim Pc so ne Sache ^^.
Ich tippe auf dns veränderungen. Manche Seiten kann ich per https nicht mehr erreichen, ich merke dass da was nicht stimmt.
Hab mir überlegt evtl mit Wireshark mal den traffic zu kontrollieren, aber da fängts schon an. So versiert bin ich damit nicht, dass ich auf anhieb einen gut getarnten wurm oder ähnliches finden würde..