Mysterioese Verbindung zu syrischer IP

06/07/2012 - 12:55 von Michael Landenberger | Report spam
Hallo,

eben habe ich per TeamViewer auf den Windows-7-Rechner von Bekannten
zugegriffen (Fehlersymptom: Firefox friert sporadisch ein). Unmittelbar
Beginn der Teamviewer-Sitzung habe ich Firefox gestartet, um die Version
zu kontrollieren (ist aktuell). Dabei wurde www.google.de als Startseite
geöffnet. Um die Flash-Version zu prüfen, habe ich anschließend
<http://www.adobe.com/software/flash/about/> aufgerufen. Dabei stürzte
Firefox ab ("keine Rückmeldung"). Nach Abschießen des Firefox-Prozesses
war kein Browser und kein E-Mail-Programm mehr aktiv. Das einzige offen
sichtbare Programm mit einer Internetverbindung war zu diesem Zeitpunkt
nur noch TeamViewer. Die Flash-Version habe ich dann mithilfe der
Systemsteuerung herausgefunden. Es war die aktuelle.

Das ist aber nicht das Hauptproblem. Wie ich es bei ONU-Rechnern
routinemàßig immer mache, habe ich mir mittels netstat alle offenen
Verbindungen anzeigen lassen. Neben einigen unverdàchtigen Verbindungen
wurde dabei auch eine Verbindung zur IP 188.160.37.19 angezeigt. Diese
IP hat <http://www.utrace.de/?query8.160.37.19> als eine IP in Syrien
verortet, bei der es sich obendrein um eine Mobilfunk-IP zu handeln
scheint. netstat zeigte diese Verbindung als "hergestellt" an. Ich habe
daraufhin zunàchst einen System-Scan mit Avira Free Antivir (mit
aktivierten Signaturen) gestartet, dabei wurde keine Schadsoftware
gefunden. Damit habe ich aber gerechnet ;-)

Hat jemand irgend eine plausible Erklàrung für die mysteriöse Verbindung
nach Syrien oder muss ich davon ausgehen, dass sich der Rechner etwas
eingefangen hat? Google und Teamviewer greifen doch sicher nicht auf
syrische Server zu, schon gar nicht auf solche mit Mobilfunk-IPs. Es
wàre außerdem auch das erste Mal, dass mir Malware begegnet, die auf
einen via Mobilfunk angebundenen Host zugreift.

Trotz dieser beunruhigenden Erkenntnis habe ich zunàchst Firefox incl.
Profile sowie den Flash Player deinstalliert und beides anschließend neu
installiert. Danach kam es einerseits nicht mehr zu Abstürzen und
andererseits zeigt auch netstat bisher keine Verbindungen nach Syrien
mehr an. Vielleicht ist das wichtig, um die Sache zu analysieren. Wenn
hier allerdings keiner eine plausible Erklàrung für die merkwürdige
Verbindung hat, würde ich dem Besitzer des Rechners eine
Windows-Neuinstallation empfehlen.

Gruß

Michael
 

Lesen sie die antworten

#1 Ansgar -59cobalt- Wiechers
06/07/2012 - 17:05 | Warnen spam
Michael Landenberger wrote:
Wie ich es bei ONU-Rechnern routinemàßig immer mache, habe ich mir
mittels netstat alle offenen Verbindungen anzeigen lassen. Neben
einigen unverdàchtigen Verbindungen wurde dabei auch eine Verbindung
zur IP 188.160.37.19 angezeigt. Diese IP hat
<http://www.utrace.de/?query8.160.37.19> als eine IP in Syrien
verortet, bei der es sich obendrein um eine Mobilfunk-IP zu handeln
scheint. netstat zeigte diese Verbindung als "hergestellt" an.



Dann schau beim nàchsten Mal nach, welcher Prozess diese Verbindung
"hergestellt" hat (netstat -ano, tasklist /fi "pid eq ####"). Ansonsten
hilft die Information nicht viel, und nachtràglich kann man auch nicht
mehr viel herauslesen.

cu
59cobalt
"All vulnerabilities deserve a public fear period prior to patches
becoming available."

Ähnliche fragen