[HaBo]

dutchman2006

Anzeige

Liebes Hackerboard,

Ich bin ja normalerweise nicht der große Fan von Verschwörungstheorien - aber heute hat sich vor meinen Augen ein Puzzle zusammengebastelt, wie es besser nicht passen könnte. Ich versuch's hier mal zu rekonstruieren:

Die Telekom Austria hat kurz vor Weihnachten letzten Jahres ein Angebot für DSL auf den Markt gebracht, dass die Konkurrenz (nicht ungerechtfertigt) als Wettbewerbsverzerrend bezeichnet hat:

Festnetzanschluss, 3 mobile SIM-Karten und ADSL Flatrate für nur 9.90 ? im Monat. (Gab's allerdings nur bis Ende Jänner)

Klingt Geil. Jawohl - Daher hat mein Vater sich das auch gleich gecheckt. (Wir hatten/bzw. haben noch chello - noch nicht abgemeldet)
Abgesehen von der Wartezeit auf das DSL-Modem war auch alles wunderbar, bis ich die Verbindung heute eingerichtet habe. Und folgendes ist passiert:

VPN Verbindung eingerichtet, username-passwort eingegeben, verbindung steht *freu*...

...doch nach ca. 1 minute Verbindung (nur google gepingt und orf.at geöffnet) meldete sich Antivir zu Wort - und das gleich dreifach gleichzeitig: Worm/sdBot.507392.1 hieß der Bösewicht.
*Hrmpf* dachte ich mir (da ich auf jenem Rechner echt nur alle hiligen Zeiten mal ne Virenwarnung krieg) - und habe die 3 infizierten Dateien (sie lagen in C:/Windows/system32) gelöscht.
*Gut* dachte ich mir, doch dann folgte wieder ein *hrmpf*, mit einer weiteren Multiplen sdbot-Warnung - diesmal sogar verbunden mit einem System-Komplett-Crash (Kein taskmanager mehr, keine explorer-Funktionalität, Totalabsturz eben).

Reset-Knopf gedrückt, hochgefahren, abermals eingewählt - und wieder das gleiche Spiel bis hin zum Absoluten Crash und Reset. Das gleiche dann nach nochmaligem Hochfahren nocheinmal.
Ich dachte mir: Sch**,Sch**, Sch** - die Kiste muss platt gemacht werden.

Problem chaotischer Natur: Nachdem das Kabel von der Telefonbuchse zum DSL-Modem quer durch den ganzen Raum verlegt war, habe ich das alte Kabel-Inet (Chello) vorübergehend wieder aktiviert.
Und dann war es sehr erstaunlich, dass auch nach zig-minuten langer Uptime (mittlerweile sicher wieder ne Stunde) auf dem selben Computer keine Warnmeldungen wegen dieses Virus mehr erschienen sind...

Ich füge das Puzzle zusammen:

• Der Wurm/sdbot hat die Charakteristik, sich einfach nur durch "online sein" auf den Rechner zu kopieren.
• Der Wurm/sdbot hat Backdoor-Eigenschaften, sprich Fremde können meine Daten einsehen und überwachen.
• Der Wurm/sdbot kommt nur auf den Rechner, wenn die Verbindung mit Telekom Austria ADSL hergestellt ist.
• Die Telekom Austria ist ein Internetanbieter, bei dem der Staat seine Finger mit im Spiel hat.
• Besagte Aktion um 9.90 ? haben sich enorm viele Leute zugelegt.
• Besagte Aktion trat zeitgleich mit dem Bundestrojaner und der Vorratsdatenspeicherung in Österreich auf.

Es ist jetzt nicht besonders weit hergeholt, dass ich vermute, der Staat hatte seine Finger bei dieser Aktion der Telekom mit im Spiel und verbreitet nun über deren Leitungen den Bundestrojaner als sdbot-Artige Malware.

Was sagt ihr dazu - habt ihr vielleicht sogar ähnliche Erfahrungen gemacht?

Ich würde mich freuen, eure Vermutungen und Spekulationen darüber zu hören.

LG
dutchman

Heinzelotto

naja, also das kann nicht sein. Es gibt zwei Möglichkeiten, was da passiert sein könnte:
1. Die Telefongesellschaft (oder irgendein anderer internetbenutzer, was ich eher vermute) hat durch eine Sicherheitslücke (dein System ist direkt nach dem Installieren wohl noch ungepatcht) seinen Schadcode auf deinen Rechner bringen können.
2. Die Telefongesellschaft hat deinen Traffic manipuliert und dir statt orf.at (bzw. zusätzlich dazu) einen virus geschickt.

Möglichkeit 2 kann aber, wenn man nachdenkt, gar nicht sein, da ja dein browser die verbindung aufgebaut hat, und der nur html-code direkt ausführt, wenn da plötzlich eine .exe datei ankommt hättest du das ja gemerkt (es sei denn, du hast einen browser, der dir bei .exe dateien aus dem internet keinen "speichern unter"-dialog zeigt, sondern sie direkt runterlädt und ausführt, ohne dir davon was zu sagen )

Deshalb kann es eigentlich nur 1 gewesen sein, Betriebssysteme haben halt nunmal sicherheitslücken und besonders ein frisch installiertes Windows, das nicht hinter einem Router am Netz hängt, ist in kürzester Zeit gehijackt. Hast du einen Router?

Wenn du wirklich sichergehen willst, dann besorg dir aus sicherer Quelle Wireshark, installiere Windows nochmal neu und wähle dich ins netz ein, während du mit wireshark den kompletten Netzwerkverkehr mitschneidest. Sobald dann wieder die Virenmeldung kommt, sollten die Mitschnitte Aufschluss darüber geben, was los ist.

Und noch was: glaubst du wirklich, dass der Staat den Leuten einen Trojaner unterjubeln würde, den schon fast jedes Virenprogramm erkennt?

goflo

Der Spaß kostet 19,90 für aon Neukunden bzw. 24,90 für "Altkunden".
Auch ich sitze hier an einem solchen Anschluss --> Trojaner NEIN (wobei ein Router dazwischen hängt). Aber ich kenne einige die auch dieses Komplettpaket haben, dieses ohne Router nutzen und auch keine Probleme damit haben. Also wird es wohl ein Einzelfall sein. Vielleicht wurdest du vom Innenministerium als Betatester für den Bundestrojaner ausgewählt.

fetzer

http://vil.nai.com/vil/Content/v_100454.htm
http://www.trustedsource.org/TS?do=t...reat&id=271800

Ich bin kein Freund von Verschwörungstheorien. Ich halte mich lieber an Fakten

end4win

Also ich mag ja Österreicher Witze

Glaube allerdings nicht, dass sie so bescheuert sind dir einen Wurm unterzujubeln,
wenn sie die Möglichkeit hätten die gewünschten Funktionen in einen Treiber
oder sonstige mitgelieferte Software oder Hardware zu integrieren.

Gruss

__________________

IsNull

Das ist ja mal wieder ne Theorie

Ich würde diese Symtome wie folgt deuten:

Der Rechner war schon infiziert, und als du ihn an das Inet angeschlossen hast, hat der Virus dies bemerkt und eine Verbidnung nach aussen aufgebaut/ bez. aufbauen wollen - und diese Aktion hat dann Antivir auf den Plan gerufen, welches dann die darin involvierten Files gescannt und als Virus identifiziert hat.

BigDevil

Trotzdem stellt sich die frage, warum das bei dem Telekom Internetanschluss nach einer Minute passiert und bei dem anderen Anschluss garnicht. Dem Schadprogramm sollte es doch ziemlich egal sein über welchen Anbieter es ans Netz gelangt. Sollte er für die alte Verbindung einen Router benutzt haben und für die neue keinen, sieht das natürlich anders aus.

IsNull

Naja, aber echt reproduzieren lässt es sich ja nicht. Ich meine, wenn man einen beliebigen Windows XP Rechner mit Antivir da anhängt, wird wohl nix passieren. Wenn doch, wirds dann misteriös...

SUID:root

Ich möchte zunächst einmal darum bitten, den Threadtitel ein wenig anzupassen denn du beschreibst das, als wäre es Fakt, nicht bloß eine Vermutung. Ließt sich wie eine Schlagzeile der Blöd-Zeitung. Damit ist es eine (unhaltbare?) Anschuldigung.

Bloß weil ein Virus auf einem System auftritt bei dem nutzen eines bestimmten Providers, so heißt das noch lange nicht das, was du da als Theorie aufstellst.
Vor allem solltest du dich ein wenig über die Befugnisse der deutschen Sicherheitsbehörden informieren. Das Einschleusen des "Bundes"-Trojaners über ein ausländisches Netzwerk wäre politisch gesehen so ziemlich das Dümmste, was man als Staat tun könnte. Nicht auszudenken, wie Österreich politisch reagieren würde, wenn das raus käme.
Ferner bezweifle ich, dass Antivir den Trojaner erkennen würde, bevor dieser weit verteilt wäre.

Auf mehr gehe ich hier mal nicht ein, denn deine Theorie ist sehr dünn und in meinen Augen alles Mögliche, aber eben kein Bundes-Trojaner.

root

dutchman2006

Danke für die zahlreichen Rückmeldungen.

@SUID:Root:
Threadtitel wurde angepasst. Stimmt natürlich. Aber:
Ich meine nicht den deutschen Bundestrojaner, sondern eine Österreichische Version.

@IsNull:
Das ist eine gute Theorie, aber wie BigDevil schon angemerkt hat, bleibt dann die Frage offen, warum er sich nur bei der Verbindung mit der Telekom aktiviert.
Aber vielelicht sollte ich ja wirklich mal probieren, ob sich des reproduzieren lässt.

@fetzer:
Danke für die Links, aber das steht in keinem Widerspruch zu meiner Vermutung. Im Gegenteil: Ein Sdbot hat offenbar genau die Eigenschaften, die der Staat als "Bundestrojaner" missbrauchen könnte. Da irritiert mich schon eher goflo's wertvolle Info, dass er das gleiche Produkt verwendet - ohne sich diesen Wurm eingefangen zu haben (@goflo: Was hastn du für einen Virenscanner?)

@Heinzelotto:
Erkennen schon. Beseitigen nein. Hab das ganze Dateisystem mit dem Filewalker gecheckt und habe den Bösewicht vier mal in system32 gefunden, ohne das mein Antivirenprogramm geschrien hat.

Aber vielleicht hat goflo ja recht, und das Innenministerium hat mich als Betatester für den Bundestrojaner ausgewählt
Im Ernst: Es is schon sehr dubios...

fetzer

Im Ernst: Nein, ist es nicht. Es ist lächerlich. Es ist naiv zu glauben, dass der Bundestrojaner - deiner Meinung nach - auf die komplette Bevölkerung losgelassen wird - und das auch noch durch einen Internet-Provider, der sich eher für das Geld der zahlenden Kunden interessiert als für staatliche Interessen.

Und wenn du dir mal die Links angeschaut hättest, dann wüsstest du 1) wie sich der Wurm verbreitet, 2) welche Dateien der Wurm infiziert , 3) wie man den Wurm wieder entfernt und 4) dass die Sourcen des Trojaners bekannt sind und JEDER dir diesen Trojaner hätte unterjubeln können, mal ganz davon abgesehn, dass der Staat sicherlich selbst einen Trojaner entwickeln würde, der NICHT von (kostenlosen) Virenscannern wie AntiVir erkannt wird.

Mach dich nicht lächerlich. Solche Würmer gibt es zu Millionen, für jedes OS, für jede Architektur. Und der sdbot ist sicherlich die letzte Wahl für "professionelle Anwender".

Hast du es inzwischen mal wieder mit der Telekom-Leitung versucht? Ich tippe auf Nein, denn sonst würdest du nicht schreiben, dass du noch nicht versucht hast, den Fehler zu reproduzieren... Oder hast du es mal mit einem anderen Virenprogramm versucht? False Positives gibt es immer wieder.

Du hast eben einen Wurm. Fuck it! Schmeiss ihn runter und gut ist. Da bist du nicht der Erste.

goflo

den selben wie du: AntiVir mit dem aktuellsten Update

Aber wie gesagt mit Router!
Ich kann mich jetzt auch täuschen, aber das klingt nicht also ob da noch ein Router zwischen PC und Inet hängt!?
Ich würde mich aber auch trauen die Verbindung ohne Router aufzubauen. Da schreckt mich dein Bericht wenig ab. Das könnte sich die Telekom auch gar nicht leisten. Stell dir vor wenn das rauskommen würde. Ok, die hälfte der User würde es wahrscheinlich gar nichte bemerken, aber trotzdem wäre der Schaden enorm.

Also ich glaube das beleibt eine Theorie...

sg goflo

SUID:root

@dutchman: Danke und: Ok, das war aus dem Posting für mich so nicht erkennbar. Dann ist das wieder etwas anders zu betrachten. Wobei ich gar nicht wusste, dass die Östereicher auch sowas planen.

Viele Grüße

root

b4ck

nicht planen wurde vom parlament meines wissens nach schon abgesegnet also die onlinedurchsuchung is nur die frage wanns kommt.. weil bei uns in österreich ist wies scheint die verfassung einen feuchten sch*** wert..

BigDevil

In Österreich wurde das schon am Ende des letzten Jahres abgesegnet. Die Österreicher haben das nur still und unauffällig durchgezogen.