Ich habe vor Kurzem einen BitDefender AV-Scan ausgeführt, der den GenericKDZ-Trojaner entdeckt und entfernt hat – eine sehr schlimme Infektion, die einen Keylogger enthält. Ich lege großen Wert auf Sicherheit – ändere ständig Standardkennwörter, sichere Kennwörter, überprüfe Links, schalte unnötige Dienste, Firewalls, NoScript, Patches, Air Gapping usw. aus. Ich habe sogar Deep Freeze installiert, um den Computer in einem stabilen Zustand zu halten (mit dem Datenlaufwerk D nicht gefroren, aber verschlüsselt)!
Diese Infektion war schockierend (IT-Experte mit über 15 Jahren Erfahrung und 3-facher Zertifizierung). Allerdings bin ich KEIN Sicherheitsexperte. Ich persönlich denke, dass dies durchaus ein gezielter Angriff sein könnte – und basierend auf den aktuellen Firewall-Protokollen „scheint“ es, als ob ich immer noch angegriffen werde – mit Angriffen von Cloud-basierten Hosting-Plattformen, die von Amazon, MS usw. betrieben werden. Diese Angriffe scheinen durchgängig von derselben Gruppe von Netzwerken zu kommen. Sie scannen über verschiedene Ports und IPs.
Anfangs schien es kleine, „geringfügige“ Schäden an einigen Word-Dokumenten zu geben – seltsamerweise waren diese mit einem Passwort gesperrt (ich weiß). Der Schaden war bei Dutzenden von Dokumenten derselbe – es scheint, als sei ein Skript ausgeführt worden, um diese Dokumente zuerst zu entsperren und sie dann auf genau dieselbe Weise zu beschädigen. Seltsamerweise trat bei einigen meiner Excel-Arbeitsmappen ein weiteres sehr merkwürdiges Problem auf – wenn ich den Cursor in eine andere Zelle bewege, blinkt der Cursor insgesamt 11 Mal. Jedes Mal. Dies geschieht in allen neuen und alten Excel-Tabellen. Es spielt keine Rolle, ob ich eine Zelle mit einer großen Formel aktualisiere, die Zahl „2“ eingebe oder einfach den Cursor in eine neue, leere Zelle bewege. Es spielt keine Rolle, wie viel Speicher derzeit während der Vorgänge verwendet wird. Es blinkt 11 Mal, JEDES einzelne Mal. K ist der 11. Buchstabe des Alphabets. Was erhalten Sie, wenn Sie eine Reihe von „K“s aneinanderreihen? Versuchen Sie, 3 nebeneinander aufzureihen. Sehr, sehr seltsam. Darüber hinaus passierten noch einige andere merkwürdige Dinge, beispielsweise das Anhalten von Windows Defender, fehlgeschlagene Updates, nicht abgeschlossene Offline-Scans, Merkwürdigkeiten beim Ausführen von SysInternals usw.
Ich habe Ersatzhardware bestellt und SEHR seltsamerweise ist auf dem Laptop-Bildschirm ein Bild mit einer wehenden Flagge zu sehen (DEUTLICH sichtbar beim Booten des Laptops). Das kann ich mir nicht ausdenken.
Auf dem Laptop mit dem Virus war Computrace im BIOS aktiviert. Ich ziehe hier keine voreiligen Schlüsse, aber es IST dauerhaft aktiviert. Die einzige Möglichkeit, DIESES Problem zu beheben, war ein vollständiger Austausch der Hardware.
Ich baue jetzt den Ersatzlaptop aus – neue Hardware, KEIN Computrace (deaktiviert), Neuinstallation von Betriebssystem, Firewall, Antivirus, Updates, Patches usw. Ich bin nicht überzeugt, dass dieses Problem behoben ist, und mache mir Sorgen, dass ich möglicherweise Opfer eines DNS-Poisonings oder eines MIM-Angriffs geworden bin. Kurz gesagt, hier sind einige Gründe:
- Wenn ich NSLOOKUP für die von mir verwendeten Domänen ausführe, erhalte ich IMMER die Antwort „nicht autoritative Antwort“. Das ist äußerst besorgniserregend. Unter anderem kann ich mich nicht daran erinnern, dass dies zuvor passiert ist.
- Wenn ich Tracert oder Pings an eine Domäne wie Fidelity.com ausführe, sehe ich verschiedene IP-Adressen. (104.78.120.120) (69.192.61.249). Manchmal gibt mir eine Site wie Shutterstock.com zwischen Tracert, Ping und NSLookup drei verschiedene Adressen. Mir ist klar, dass viele Sites CDNS verwenden, aber ich bin mir nicht sicher, wie sich das auf Lastverteilung, IP-Adressen usw. auswirkt.
- Wenn ich mir die Site-Zertifikate anschaue, sehe ich auch überraschende Dinge. Ich sehe ein „domänenvalidiertes“ Site-Zertifikat für eine lokale Bank-Website, die ich verwende. Ich würde zumindest ein „organisationsvalidiertes“ Zertifikat erwarten.
- Wenn ich den Befehl „Route Print“ ausführe, erhalte ich für den Großteil der Routing-Tabelle die Antwort „On-Link“. Meines Wissens nach wird dadurch eine direkte „DFÜ-Verbindung“ zur betreffenden IP-Adresse erstellt und das Gateway umgangen. Wenn das stimmt, ist das wirklich schockierend.
- Wenn ich ein Tracert ausführe, sehe ich 5 IP-Adressen, bevor die Pakete überhaupt den Router meines ISPs erreichen! Auf den ersten Blick sehen diese absolut wie Computer-IP-Adressen (wie 1.2.3.4) aus und nicht wie ein normaler Routername. Wenn ich diese IPs verfolge, „scheint“ es, als ob sie sich im Netzwerk des ISPs befinden – was tun sie, ist die Frage.
- Ich habe vor Kurzem begonnen, BitDefender VPN zur Erhöhung meiner Sicherheit zu verwenden. Jetzt scheint es jedoch so, als würde ich zu einem VPN-Server in Chicago gezwungen, obwohl ich vorher die Verbindung trennen und dann automatisch eine Verbindung zu einem anderen US-Server herstellen konnte – beispielsweise Miami oder New York. Dies ist brandneue Software, die erst seit ein paar Tagen installiert ist. Der einzige US-Server, mit dem ich mich jetzt verbinden kann, ist ein Server in Chicago von einer Firma namens „24 Shells“.
- Mein Computer verlor den ganzen Tag über ständig die Verbindung zum WLAN – an manchen Tagen war es schlimmer als an anderen. Aber seltsamerweise geschah die Trennung in 85 % der Fälle bei einem Comcast-Router in Chicago. Ich rief den Support an und sie wollten immer auf mein Gerät und meinen Laptop verweisen. Aber Tatsache ist, dass die Verbindung in 85 % der Fälle gut war und nur in Chicago abbrach. Eine Trennung und erneute Verbindung zum WLAN schien das Problem zu lösen. Es war fast so, als ob ich manuell von diesem Gerät in Chicago getrennt worden wäre.
- Ich tue NICHTS Böses von dieser Box aus (oder von irgendeinem anderen Gerät zu irgendeiner Zeit). Ich habe einfach nur Geschäftsvermögen und Daten, die ich schützen muss. Ich betreibe ein legitimes Geschäft von meinem Home-Office aus.
Ich wäre für jede Hilfe oder Anleitung sehr dankbar.
Antwort1
Wenn ich NSLOOKUP für die von mir verwendeten Domänen ausführe, erhalte ich IMMER die Antwort „nicht autoritative Antwort“. Das ist äußerst besorgniserregend. Unter anderem kann ich mich nicht daran erinnern, dass dies zuvor passiert ist.
non-authoritative answerist eine völlig normale Antwort von NSLOOKUP.
Nicht autoritative Antwort bedeutet einfach, dass die Antwort nicht vom autoritativen DNS-Server für den abgefragten Domänennamen abgerufen wird.
Quelle:DNS - NSLOOKUP, was bedeutet die nicht autoritative Antwort?
Wenn ich Tracert oder Pings an eine Domäne wie Fidelity.com ausführe, sehe ich verschiedene IP-Adressen. (104.78.120.120) (69.192.61.249). Manchmal gibt mir eine Site wie Shutterstock.com zwischen Tracert, Ping und NSLookup drei verschiedene Adressen. Mir ist klar, dass viele Sites CDNS verwenden, aber ich bin mir nicht sicher, wie sich das auf Lastverteilung, IP-Adressen usw. auswirkt.
Was Sie beschreiben, ist normal und von diesen Websites zu erwarten. Wenn Ihr Browser kein Problem mit dem Zertifikat der betreffenden Website anzeigt, besuchen Sie die legitime Website.
Natürlich verwenden Sie BitDefender, das sicheren HTTP-Verkehr scannen kann. BitDefender kann sicheren, verschlüsselten HTTP-Verkehr scannen, indem es sein eigenes Zertifikat verwendet.
Wenn ich ein Tracert ausführe, sehe ich 5 IP-Adressen, bevor die Pakete überhaupt den Router meines ISPs erreichen! Auf den ersten Blick sehen diese absolut wie Computer-IP-Adressen (wie 1.2.3.4) aus und nicht wie ein normaler Routername. Wenn ich diese IPs verfolge, „scheint“ es, als ob sie sich im Netzwerk des ISPs befinden – was tun sie, ist die Frage.
Das ist eigentlich ein völlig normales Verhalten
Ich rief den Support an und sie wollten immer auf meine Ausrüstung und meinen Laptop verweisen. Aber Tatsache ist, dass die Verbindung 85 % der Zeit gut war und erst in Chicago abbrach. Eine Trennung und erneute Verbindung zum WLAN schien das Problem zu lösen. Es war fast so, als ob ich in Chicago manuell von diesem Gerät getrennt worden wäre.
Da Sie bestätigt haben, dass Sie mit Malware infiziert sind, scheint ihre Schlussfolgerung, dass das Problem bei Ihrem Laptop lag, richtig gewesen zu sein. Klingt, als sollten Sie eine Neuinstallation von Windows durchführen und alle Ihre Anwendungen neu installieren.
Ich habe vor Kurzem begonnen, BitDefender VPN zur Erhöhung meiner Sicherheit zu verwenden. Jetzt scheint es jedoch so, als würde ich zu einem VPN-Server in Chicago gezwungen, obwohl ich vorher die Verbindung trennen und dann automatisch eine Verbindung zu einem anderen US-Server herstellen konnte – beispielsweise Miami oder New York. Dies ist brandneue Software, die erst seit ein paar Tagen installiert ist. Der einzige US-Server, mit dem ich mich jetzt verbinden kann, ist ein Server in Chicago von einer Firma namens „24 Shells“.
BitDefender stellt meiner Meinung nach einige der schlechtesten Softwares her. Ich würde einfach eine andere VPN-Anwendung verwenden. Es gibt mehr VPN-Anbieter, die bessere Software haben oder OpenVPN sogar besser unterstützen, also ist das unnötig.
Ich persönlich glaube, dass es sich hier durchaus um einen gezielten Angriff handeln könnte – und den aktuellen Firewall-Protokollen zufolge „scheint“ es, als ob ich immer noch angegriffen werde – und zwar von Cloud-basierten Hosting-Plattformen, die von Amazon, MS usw. betrieben werden. Diese Angriffe scheinen immer wieder von derselben Gruppe von Netzwerken auszugehen. Sie scannen über verschiedene Ports und IPs.
Aufgrund des beschriebenen Problems kann ich Ihnen garantieren, dass es sich nicht um einen gezielten Angriff handelt, sondern nur um das Ergebnis einer schweren Systembeschädigung nach der höchstwahrscheinlich teilweisen Entfernung einer Malware-Infektion. Die meisten der von Ihnen beschriebenen Probleme sind keine tatsächlichen Probleme.