UPC-Warnung: Sicherheitswarnung - DNS Changer Virus ?

05/07/2012 - 22:18 von А. Воgnеr | Report spam
Verschickt UPC Warn-Mail bzgl. dem DNS Changer? Bei mir kam ein Mail
an, das authentisch aussieht, dh kein Link auf irgendeine verdàchtige
Seite. Andererseits ist meine resolv.conf auch unveràndert. Die
Email-Adresse ist zwar angelegt, wird nie verwendet und erinnert an ein
gutes PW. Ich frage mich daher wie Spammer an diese Adresse gelangen
könnten. Jedenfalls sehe ich nicht den geringsten Hinweis, dass mein
Linux-System veràndert wurde.


Beginn der weitergeleiteten Nachricht:

Datum: Mon, 2 Jul 2012 13:15:35 +0000
Von: "abuse@upc.at" <abuse@upc.at>
An: "abuse@upc.at" <abuse@upc.at>
Betreff: Sicherheitswarnung - DNS Changer Virus


Sehr geehrte Kundin!
Sehr geehrter Kunde!

UPC wurde von unterschiedlichen nationalen und regionalen
Sicherheitsabteilungen
(CERT<http://de.wikipedia.org/wiki/Comput...e_Team>)
darüber informiert, dass Ihr System (mindestens einer der Computer, die
Ihren Internetzugang benutzen) mit dem DNS Changer Virus/Trojaner
infiziert wurde.

Wir bitten Sie umgehend Schritte zu unternehmen, die die Sicherheit
Ihres Systems wiederherstellt.

Wir raten Ihnen, Ihr System mit Hilfe einer Webseite, die vom
Anti-Botnet-Beratungszentrum zur Verfügung gestellt wurde, zu
überprüfen.

Eine mögliche Seite zur Überprüfung ist z.B.: http://www.dns-ok.de

Sollte Ihr PC mit dem Virus befallen sein, folgen Sie bitte den
Anweisungen der Internet Seite.

Für weitere Fragen wenden Sie sich bitte per E-Mail an unser Abuse Team
abuse@upc.at<mailto:abuse@upc.at>

Mit freundlichen Grüßen

Ihr UPC Austria Abuse-Team

UPC Austria GmbH
Wolfganggasse 58-60
A-1120 Wien
Postfach 47
T +43(1) 960 60 600
F +43(1) 960 68 1364
E abuse@upc.at<mailto:abuse@upc.at>

www.upc.at<http://www.upc.at/>
(Bitte fuegen Sie immer den kompletten
Mailverkehr und Ihre Kundennummer bei)

This e-mail is confidential and may well also be legally privileged. If
you have received it in error, you are on notice of its status. Please
notify us immediately by reply e-mail and then delete this message from
your system. Please do not copy it or use it for any purposes, or
disclose its contents to any other person: to do so could be a breach
of confidence. Thank you for your cooperation. Information pursuant to
paragraph 14 Austrian Companies Code: UPC Austria GmbH; Registered
Office: Wolfganggasse 58-60, 1120 Vienna Company Register Number: FN
189858d at the Commercial Court of Vienna

Αl
 

Lesen sie die antworten

#1 Robert Waldner
05/07/2012 - 23:11 | Warnen spam
?. ??gn?r wrote:
Verschickt UPC Warn-Mail bzgl. dem DNS Changer? Bei mir kam ein Mail
an, das authentisch aussieht, dh kein Link auf irgendeine verdàchtige
Seite. Andererseits ist meine resolv.conf auch unveràndert. Die
Email-Adresse ist zwar angelegt, wird nie verwendet und erinnert an ein
gutes PW. Ich frage mich daher wie Spammer an diese Adresse gelangen
könnten. Jedenfalls sehe ich nicht den geringsten Hinweis, dass mein
Linux-System veràndert wurde.



Kann schon sein - zumindest mein Broetchengeber (ÎRT.at) verschickt
Mails bez. anscheinend DNSChanger-infizierter Rechner an die ISPs, damit
die wiederum ihre Kunden informieren koennen (wir kennen ja nur die IP-
Adressen, nicht den tatsaechlichen Endkunden, und schicken das anhand
der ASe gesammelt weiter). Was die ISPs damit machen, an welche Mail-
Adressen die das weiterschicken bzw. wie deren Benachrichtigungen an ihre
Kunden aussehen, wissen wir nicht - Rueckfragen hilft,
existiert.

Allerdings waren da in letzter Zeit auch etliche False Positives drin,
meist legitime Resolver - vgl. auch
http://www.cert.at/services/blog/20...0-309.html

Mein Standard-Vorschlag: die DNSChanger-Netze (siehe Tabelle unten auf
http://www.dcwg.org/isps/ ) am Gateway loggen (oder auch fuer Port 53
blocken), dann kann man sicher sein, ob's da was dahinter erwischt hat
oder nicht.
Falls ein "Breitbandrouter", oder wie die Dinger im Consumer-Bereich
auch grad heissen, verwendet wird, der DNS-Resolver fuer's lokale Netz
spielt (dnsmasq etc.), dann sollte auch der gecheckt werden.

Plus, am 9.7. ist der Spass eh vorbei, weil dann das FBI die Sinkholes
abdreht (bzw. vom ISC, die die betreibt, abdrehen laesst). Dann noch
infizierte Clients stehen dann ohne DNS da, was sich relativ schnell
(& unangenehm) bemerkbar machen wird ;-)

cheers,
&rw

Ähnliche fragen