stream
Goto Top

Einer Malware auf der Spur. Benötige Sherlock Holmes!

Guten Abend

Wenn ich meine Windows-10-Kiste starte, so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde. Auf meinem Router läuft ein Tool, dass den Netzwerkverkehr überwacht und eine Verbindung ggf. blockt, falls die entsprechende externe IP mit einer bösartigen Quelle assoziiert wurde.

Seit gestern blockt nun der Router stets die gleiche IP. Und dieser Event kommt immer genau dann vor, wenn ich meinen PC starte. Meine Befürchtung ist nun, dass ich mir eine Malware eingefangen habe, die stets beim Start versucht mit dem Mutterschiff Kontakt aufzunehmen.

Mit Wireshark habe ich Infos über den Port erhalten. Mit netstat habe ich dann versucht die PID für den entsprechenden Port herauszufinden. Der ist jedoch 0 (wartend).

Da ich kein Netzwerk-Experte bin, komme ich nun an dieser Stelle nicht weiter. Meine Frage: Wie kann ich herausfinden, welches Programm bei mir versucht hat mit der entsprechenden externen IP zu kommunizieren? Habt ihr Tipps?

Vielen Dank!

Peter

Content-Key: 657036

Url: https://administrator.de/contentid/657036

Printed on: May 24, 2024 at 11:05 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Feb 28, 2021, updated at Mar 02, 2021 at 16:22:07 (UTC)
Goto Top
Moin,

Lass Mal Malwarebytes Adwcleaner und Anti-Malware und dann noch ct-desinfect drüber laufen, ob die was finden.

Alternativ gleich platt machen.

lks

PS: welche Meldung kommt denn? Manchmal ist es nur ein False Positive und manchmal nur Adware.

Edit: Typo
Mitglied: 117471
Solution 117471 Feb 28, 2021 at 18:55:12 (UTC)
Goto Top
Hallo,

Zitat von @stream:

so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde

So etwas klingt für mich grundsätzlich nach Schlangenöl / Scareware. Was für ein "Tool" ist das denn (auf dem Router) und nach welchen Kriterien entscheidet das, welche IP-Adressen gutartig oder bösartig sind?

Gruß,
Jörg
Member: aqui
Solution aqui Feb 28, 2021 updated at 19:27:48 (UTC)
Goto Top
Damit sieht man etwas mehr.
https://www.glasswire.com
Interessant wäre mal mit http://www.utrace.de oder https://www.ip-tracker.org zu checken wem die Ziel IP gehört an die nach Hause telefoniert wird.
Auf das kommt man doch auch als Laie gleich als Erstes ?!
Member: Fennek11
Fennek11 Mar 01, 2021 at 08:51:44 (UTC)
Goto Top
Versuch die DoItYourself-Methode:

Prüfe
- Autostart
- den Ordner %Temp%
- den Ordner C:\programdate
- die Ordner in c:\users\public

- windows kann alle DNS-Queries loggen (nach wenigen Minuten ist die Default-Kapazität erreicht
- oder CMD: IpConfig /DisplayDNS

Einen vollständigen Scan mit dem installierten AV-Programm ist selbstverständlich.
Member: Dani
Dani Mar 01, 2021 at 11:04:27 (UTC)
Goto Top
Moin iktbuerovonwaldenundco,
ich schlage vor, du liest noch einmal aufmerksam unsere aktuellen und gültigen Forenregeln.
Werbung in dieser und anderer Form ist nicht gestattet. Daher habe ich den Kommentar ausgeblendet.


Gruß,
Dani
Member: Ex0r2k16
Ex0r2k16 Mar 01, 2021 updated at 15:37:02 (UTC)
Goto Top
Zitat von @aqui:

Damit sieht man etwas mehr.
https://www.glasswire.com
Interessant wäre mal mit http://www.utrace.de oder https://www.ip-tracker.org zu checken wem die Ziel IP gehört an die nach Hause telefoniert wird.
Auf das kommt man doch auch als Laie gleich als Erstes ?!

Also meine Muddi garantiert nicht face-wink Und die ist auch Laie!
Member: NetzwerkDude
NetzwerkDude Mar 01, 2021 updated at 16:09:19 (UTC)
Goto Top
Hi,

der Powershell Oneliner zeigt dir alle offenen verbindungen mit Quell/Ziel Ip/Port:
Get-NetTCPConnection | Select-Object LocalAddress,LocalPort,RemoteAddress,RemotePort,@{ Name = 'ProcessName'; Expression = { (Get-Process -Id $_.OwningProcess).ProcessName }} | Format-Table -AutoSize  

Interessanter wäre es aber gleich mit WinPmem
https://github.com/Velocidex/WinPmem
ein Memory Image zu ziehen, das kannst du dann in ruhe auf einem zweiten Rechner untersuchen, z.B. mit Volatiloty
https://github.com/volatilityfoundation/volatility
(Recherchetipp: Find malware with volatility)

Ansonsten wird vermutlich schon das Sysinternals Autostarts wie schon von Fennek erwähnt was finden, achte auf die Roten und Gelben einträge face-smile

MFG
N-Dude
Member: stream
stream Mar 02, 2021 at 16:14:11 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

Lass Mal Malwarebytes Are cleaner und Anti-Malware und dann noch ct-desinfect drüber laufen, in die was finden.

Alternativ gleich platt machen.

lks

PS: welche Meldung kommt denn? Manchmal ist es nur ein Fake Positive und manchmal nur Adware.

Besten Dank für Angabe dieser nützlichen Tools!
Peter
Member: stream
stream Mar 02, 2021 at 16:31:29 (UTC)
Goto Top
Zitat von @117471:

Hallo,

Zitat von @stream:

so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde

So etwas klingt für mich grundsätzlich nach Schlangenöl / Scareware. Was für ein "Tool" ist das denn (auf dem Router) und nach welchen Kriterien entscheidet das, welche IP-Adressen gutartig oder bösartig sind?

Gruß,
Jörg

Das Tool heisst "Safe Access" auf einem Synology-Router. Scheinbar verwendet dieses Tool unter anderem "Safe browsing site" von Google, um die Sicherheit von URLs/IPs zu checken.

Noch bevor ich hier in die Runde schrieb, überprüfte ich die als verdächtig eingestufte IP 199.59.242.153 manuell. Unter anderem fand ich unter https://www.abuseipdb.com/check/199.59.242.153 einige kritische Einträge. Irgendwo stand auch, dass Hacker teilweise diese IP als Proxy benutzen.

Mit glasswire (aqui, danke für den Tipp!) fand ich dann heraus, dass ein Treiber für einen Scan-Pen, den ich seit vielen Jahren bereits benutze, versucht eine Verbindung zu dieser IP aufzunehmen (domain: 77026.bodis.com). So vermutete ich dann, dass ggf. doch falscher Alarm besteht. Überprüfe ich diese domain bei virustotal.com bzw. unter https://transparencyreport.google.com/safe-browsing/search?url=77026.bod ... , so scheint tatsächlich alles ok zu sein.

Das Tool "Safe Access" scheint aus irgendeinem Grund seit kurzem allergisch auf diese IP zu reagieren. Hoffentlich unbegründet.

Beste Grüsse, Peter
Member: stream
stream Mar 02, 2021 at 16:33:55 (UTC)
Goto Top
Zitat von @NetzwerkDude:

Hi,

der Powershell Oneliner zeigt dir alle offenen verbindungen mit Quell/Ziel Ip/Port:
Get-NetTCPConnection | Select-Object LocalAddress,LocalPort,RemoteAddress,RemotePort,@{ Name = 'ProcessName'; Expression = { (Get-Process -Id $_.OwningProcess).ProcessName }} | Format-Table -AutoSize  

Interessanter wäre es aber gleich mit WinPmem
https://github.com/Velocidex/WinPmem
ein Memory Image zu ziehen, das kannst du dann in ruhe auf einem zweiten Rechner untersuchen, z.B. mit Volatiloty
https://github.com/volatilityfoundation/volatility
(Recherchetipp: Find malware with volatility)

Ansonsten wird vermutlich schon das Sysinternals Autostarts wie schon von Fennek erwähnt was finden, achte auf die Roten und Gelben einträge face-smile

MFG
N-Dude

Sehr wertvoll. Besten Dank. In diesem Fall war diese Methode (noch) nicht vonnöten... Aber gut ist, diese Möglichkeiten in der Hinterhand zu haben!
Peter