Telfort Abuse Team - Misbruik van uw internetaansluiting

Discussieforum voor vragen, mededelingen en waarschuwingen op het gebied van computerbeveiliging en privacy.
Gebruikersavatar
Maxstar
Administrator
Administrator
Berichten: 42137
Lid geworden op: 27 sep 2008 10:18
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Anti-Malware
Contacteer:

#1

Steeds meer internetproviders informeren de klanten wanneer er verdacht internetverkeer wordt gedetecteerd en er sprake is van geïnfecteerde computer(s) in het netwerk van de internetprovider. Via het Telfort Abuse Team worden de klanten via de e-mail op de hoogte gebracht van het beveiligingsprobleem dat op uw Internetverbinding is aangetroffen, met als onderwerp "Misbruik van uw internetaansluiting" wat voorzien is van een Telfort Abuse ticketnummer en het betreffende IP-adres van uw internetaansluiting.

Negeer een dergelijke melding van uw internetserviceprovider nooit, ook als uw geïnstalleerde virusscanner of ander beveiligingspakket geen bedreigingen detecteert. Dergelijke malware zoals Sinowal ook bekend als Torpig en Mebroot wisselen regelmatig van gedaante en zijn zo ontwikkeld om detectie te voorkomen. Wanneer uw reguliere beveiligingssoftware geen bedreigingen weergeeft is nog geen vrijbrief dat uw computer dan ook niet geinfecteerd is, terwijl uw internetserviceprovider in dit geval Telfort hier wel melding van maakt.

Misbruik van uw internetaansluiting
In de betreffende e-mail die u onderaan deze pagina kunt nalezen wordt er verwezen naar het gebruik van TDSSKiller van Kaspersky en Malwarebytes Anti-Malware. Echter is het gebruik van TDSSKiller niet geheel zonder risico, want bij verkeerd gebruik kunnen er essentiële bestanden behorende tot Windows en geïnstalleerde programma's verwijderd worden, wat in het slechtste geval zal resulteren in opstartproblemen van Windows.

In het onderstaande stappenplan staat het "veilig" gebruik maken van TDSSKiller en Malwarebytes Anti-Malware nader beschreven, wanneer u een dergelijk e-mail van het Telfort Abuse Team heeft ontvangen kunt u gebruik maken van dit uitgebreide stappenplan. Wij adviseren echter wel om zowel de logbestanden van TDSSKiller en Malwarebytes Anti-Malware op het forum te plaatsen zodat uw computer geheel op de aanwezigheid van malware gecontroleerd kan worden. Daar de Torpig, Mebroot, Sinowal infectie regelmatig van gedaante wisselt kan deze gemakkelijk onopgemerkt blijven en daarvoor is een diepere controle benodigd om de malware op te sporen en te kunnen verwijderen. Hiervoor kunt u terecht in het forum Hulp bij malware en virusinfectie problemen (HijackThis / DDS logs) waar wij uw probleem geheel individueel behandelen en hulp en ondersteuning bieden bij het verwijderen van malware.

1. Download TDSSKiller en plaats het op je bureaublad.
  • Voordat je TDSSKiller uitvoert is het raadzaam om de onderstaande handleiding van TDSSKiller te raadplegen.
  • Dubbelklik op TDSSKiller.exe om de tool te starten. (Indien je TDSSKiller als ZIP bestand hebt gedownload dien je deze eerst uit te pakken).
  • Als er door TDSSkiller een update wordt gevonden klikt u op de knop "Load update"
  • Een nieuwe versie van TDSSkiller zal nu gedownload worden en sla deze op het bureaublad op.
  • Start nu TDSSkiller opnieuw.
  • Klik in het licentiescherm op "Accept" om door te gaan.
  • Vervolgens krijgt u het scherm te zien van het "Kaspersky Security Network Statement" klik hier eveneens op "Accep".
  • Klik op "Change parameters" en zorg dat de onderstaande opties allemaal aangevinkt zijn.
    Afbeelding
  • Klik op de knop "Start Scan" en volg de instructies.
    • Gebruik nooit de "Delete" of "Quarantaine" optie bij een "Fail signature" melding.
    • Wanneer er een herstart nodig was, vind je de logfile in C:\TDSSKiller.[Version]_[Date]_[Time]_log.txt
    • Voeg dit log-bestand als bijlage toe aan het volgende bericht.

2. Download Afbeelding MalwareBytes' Anti-Malware en sla het op je bureaublad op.
  • Dubbelklik op mbam-setup-x.xx.x.xxx.exe om de installatie van Malwarebytes Anti-Malware te starten.
  • Wanneer u een beveiligingswaarschuwing van Windows krijgt klikt u op de knop "uitvoeren".
  • Volg de verdere aanwijzingen, de volledige installatieprocedure kunt u nalezen op de volgende link - Malwarebytes Anti-Malware installeren.
  • Als de installatie gereed is staat de optie Start de gratis probeerversie van Malwarebytes Anti-Malware PRO aangevinkt.
  • Wanneer u hier geen gebruik van wilt maken, vink deze optie dan uit.
  • Klik vervolgens op "Voltooien" om de installatie af te ronden.
  • Vervolgens wordt er automatisch een update uitgevoerd, als dit gereed is klikt u op de knop "OK".
  • Malwarebytes Anti-Malware wordt nu gestart, klik vervolgens op de knop "Scan".
  • Als de scan gereed is klik dan op de knop "bekijk resultaten".
  • Zorg ervoor dat alle items staan aangevinkt, als dit niet zo is klik dan met de rechtermuisknop op één van de items en kies "Selecteer alle objecten"
  • Klik vervolgens op de knop "Verwijder geselecteerde".
  • Wanneer de scan gereed is wordt er in kladblok een logbestand geopend, plaats deze als bijlage in het volgende bericht. (Het logbestand is tevens terug te vinden onder het tabblad logbestanden).
  • Bij de melding "DRINGEND! Je moet je computer opnieuw opstarten om alle actieve infecties volledig te verwijderen." klikt u op JA om de computer opnieuw op te starten.

3. Plaats de twee logbestanden van Malwarebytes Anti-Malware en RSIT is een nieuw onderwerp in het forum.
  • Ga naar het forumgedeelte "Hulp bij malware en virusinfectie problemen (HijackThis / DDS logs)"
  • Voeg de twee logbestanden als bijlage toe, klik hier voor de instructies voor het toevoegen van een bijlage op het forum.
  • Mocht u problemen ondervinden bij het uitvoeren van dit stappenplan maak dan gewoon een nieuw onderwerp aan op het forum en beschrijf uw problemen, zo kunnen we u een andere oplossing aanbieden.
  • Wanneer het probleem opgelost lijkt na het uitvoeren van dit stappenplan plaats dan alsnog even de verkregen logbestanden zodat we uw computer verder kunnen controleren en kunnen zien wat er is verwijderd en gedetecteerd. Want na het uitvoeren van dit stappenplan is er namelijk nog geen zekerheid dat alles is verwijdert, vandaar dat er een verdere analyse benodigd is.

Telfort Abuse Team - Misbruik van uw internetaansluiting
Onderstaand ziet u een voorbeeld van de e-mail die door het Telfort Abuse Team naar aanleiding van de gedetecteerde bedreigingen op uw internetaansluiting is verstuurd.

Van: "Telfort Abuse Team" <abuse@telfort.nl>
Onderwerp: [Telfort Abuse #ticketnummer] Misbruik van uw internetaansluiting [ip adres]

Geachte heer/mevrouw,

LET OP : Deze e-mail bevat belangrijke informatie over een beveiligingsprobleem wat op uw Internetverbinding is aangetroffen. Leest u deze e-mail alstublieft aandachtig door.

Wij hebben geconstateerd dat een van de computers die u gebruikt mogelijk besmet is met een rootkit virus, en zodoende onderdeel is van een botnet. Een botnet is een netwerk van besmette computers, die door een centraal persoon kunnen worden aangestuurd voor het uitvoeren van allerlei (illegale) opdrachten. Tevens kunnen persoonlijke gegevens via een botnet worden gestolen, zoals wachtwoorden, surfgedrag, adresgegevens etc.

In dit geval is er een torpig/mebroot besmetting aangetroffen.

Torpig (wat meestal samen met Mebroot gevonden wordt) is een botnet. Deze is genesteld in de MBR (Master Boot Record), het stukje op de harddisk dat wordt geladen, nog voor uw besturingssysteem start. Het is dan ook goed mogelijk dat uw virusscanner niets kan vinden, zelfs niet in veilige modus. Het is dan ook belangrijk dat u in ieder geval scans uitvoert met de 2 tools genoemd in deze e-mail.

Torpig richt zich vooral op het stelen van gevoelige informatie, denk hierbij aan bankgegevens, creditcards, paypal accounts, maar ook wachtwoorden die u gebruikt voor verschillende diensten. Mogelijk kan men uw computer(s) vanaf afstand instructies verzenden vanwege deze botnet besmetting.

Mebroot is vrij lastig om te verwijderen, er zijn een aantal tools die u daarbij kunnen helpen:

http://support.kaspersky.com/downloads/ ... killer.exe" onclick="window.open(this.href);return false;

LET OP : Verwijder na de scan met deze tool alleen de zaken met de term 'Sinowal' in de naam. Verwijder de overige gevonden bestanden niet, daar dit tot gevolg kan hebben dat uw computer niet meer opstart.

http://www.malwarebytes.org/mbam-download-exe.php" onclick="window.open(this.href);return false; (voer de update uit na de installatie, en dan een volledige scan. Controleer goed wat er gevonden is)

Een alternatieve downloadsite voor als bovenstaande link niet werkt: http://home.telfort.nl/abuse/mbam-setup.exe" onclick="window.open(this.href);return false;


*LET OP* Gebruik beide tools om er zeker van te zijn dat er niets te vinden is op uw MBR. Gebruikt u Windows Vista of Windows 7, vergeet de tool niet uit te voeren als beheerder/administrator, d.m.v. het rechtsklikken op het bestand en te kiezen voor uitvoeren als beheerder.

Heeft u een draadloos netwerk, controleer dan of dit is beveiligd via WPA of WPA2. WEP is niet afdoende, omdat dit binnen 2 minuten te kraken is. Een beveiligd draadloos netwerk voorkomt dat derden gebruik kunnen maken van uw verbinding, en dus een besmette computer kunnen aansluiten om via uw verbinding dit soort klachten veroorzaken.

Mocht u kiezen voor een herinstallatie van het systeem, dan is het belangrijk dat de MBR opnieuw geschreven wordt. Indien u Windows opnieuw installeert via de CD kunt u alle bestaande partities verwijderen, om vervolgens een nieuwe aan te maken.

Aanvullende informatie over Mebroot/Torpig is te vinden op onderstaande pagina's.

http://en.wikipedia.org/wiki/Torpig" onclick="window.open(this.href);return false;
http://www.symantec.com/security_respon ... 18-3448-99" onclick="window.open(this.href);return false;

Het is belangrijk dat u zo spoedig mogelijk een reactie stuurt op deze waarschuwing.
Indien wij geen reactie ontvangen, en het beveiligingsprobleem blijft bestaan, dan kan het zijn dat wij uw internetverbinding tijdelijk blokkeren tot het probleem is opgelost. Graag vernemen wij in uw antwoord ook of de betreffende scans ook daadwerkelijk zaken gevonden hebben.

LET OP: Het onderwerp van dit bericht bevat een ticketnummer: [Telfort Abuse #ticketnummer] .
Indien u vanaf een ander e-mailadres contact met ons wilt opnemen, vermeld dan altijd het volgende in het onderwerp: [Telfort Abuse #ticketnummer] .

Met vriendelijke groet,

Telfort Abuse Team
abuse@telfort.nl

Tel. 0900 9596 (10ecpm + evt. kosten van uw mobiele aanbieder, deze vindt u op de website van uw aanbieder)

Hoe kan Telfort zien dat mijn computer besmet is?
Internet providers gebruiken systemen (intrusion detection) waarmee het verkeer van een internetaansluiting als het ware wordt bewaakt, als dit systeem opmerkt dat een computer verbinding probeert te maken met een command & control server van de malware, of als er verkeer wordt gedetecteerd dat kenmerken heeft van bijvoorbeeld het versturen van spam of gemaakte verbindingen naar een botnet zal hier een melding van worden gemaakt door het systeem.

De provider kan de geïnfecteerde computer dan in quarantaine plaatsen zodat er nog maar in beperkte mate gebruik kan worden gemaakt van internet. In het slechtste geval wordt u door de provider geheel afgesloten van het internet om verdere verspreiding te voorkomen, en waarbij de provider voorkomt dat een hele IP-range op een "blacklist" komt te staan. Hiervan wordt u dan in de meeste gevallen schriftelijk op de hoogte gebracht.
Plaats reactie

Terug naar “Beveiliging & Privacy”