Diesmal aus eigenen Untersuchungen auf meinem eigenen PC mit ADSL-Festnetz der A1, Ergebnisse bestätigt durch Abfrageergebnis über Mobiles Internet über Provider 3.
Ausgangspunkt :
Firefox stürzt seit einiger Zeit immer wieder aus unerklärlichen Grunden ( vielleicht auch unnötige/fehlerhafte Addins ab ).
Ich habe mir daraufhin (unter Windows 7) den Taskmanager aufgerufen und bon dort den Ressourcemonitor aufgerufen.
Im Ressourcenmonitor habe ich nir die Anzahl der TCP-Verbindungen und die Veränderung diesrer Anzahl über die Zeit beim Aufruf verschiedener Programme angeschaut.
Im "Ruhezustand" ( bei offenem Firefox-Browser) werden beim mir ca. 5 Verbindungen angezeigt, die aber im Extremfall auf mehr als 100 Verbindungen absteigen - ein mit verdächtig erscheinendes Verhalten.
Auf der linken Seite des Ressourcenmonitors wird zu jeder TCP-Verbindung die Lokale- und die Remote-Adresse angezeigt und (zumeist) auch ein Name des Programmes, das den lokalen Endpunkt der TCP-Verbindung darstellt.
Hier erschienen mir wieder jene Einträge besonders verdächtg, die beim Namen dieses Programmes lediglich einen Binde-Strich ( nicht festellbarer Ursprung ? ) stehen hatten.
Die Remoteadresse dieser TCP-Verbindung habe ich mir näher über einen "WhoIS-IP" bzw. den dort mit angebotenen Trace näher angeschaut und zu meiner Überraschung selbst für rein östereichische Ziele (z.B. zum Standard oder zu A1) immer eine über die USA und Denver ( vermutlich Hauptsitz der NSA ! ) geroutet TCP-Verbindung (über ca. 10-15 Hopps).
Für mich stellte sich nun die Frage, ob diese Route durch Malware auf meinem PC ausgelöst wurde, oder durch "andere Umstände".
Ergebnis:
Meine Untersuchungen habe ergeben, dass höchstwahrscheinlich nicht Malware auf meinem eigenen Rechner die Ursache sein dürfte, sondern bereits der Zugang zu den Domain-Nameservern (zumindest von A1) diese Umleitung auslöst.
Erst gestern habe ich auf meinem lokalen Rechner einen Root-Kit Scan und ausführlicfen Virenscan durchgeführt und (hoffentlich) alle Probleme behoben. Garantie, dass nun nichts Bösartiges mehr drauf ist ist das natürlich nicht.
Das würde also bedeuten, dass alle Internet-User von A1 automatisch durch NSA auspioniert werden !
Bitte daher alle Zugänge zu euren Domain-Name Servern eurer Provider prüfen :
ob in den Trace-Routes zu diesen Domain-Name Servern eine Umleitung nach USA/Denver oder ähnlich verdächtige Ziele enthalten sind.
Genauere Details mit meinen Trace-Ergebnissen folgen hier später noch !
Wenn meine Ergebnisse korrekt sein sollten, dann ist die ursprüngliche Zeitungsmeldung ( "Unbekannte haben.... ausspioniert" ) immer noch aktuell und ein Dauerzustand.
Ausgangspunkt :
Firefox stürzt seit einiger Zeit immer wieder aus unerklärlichen Grunden ( vielleicht auch unnötige/fehlerhafte Addins ab ).
Ich habe mir daraufhin (unter Windows 7) den Taskmanager aufgerufen und bon dort den Ressourcemonitor aufgerufen.
Im Ressourcenmonitor habe ich nir die Anzahl der TCP-Verbindungen und die Veränderung diesrer Anzahl über die Zeit beim Aufruf verschiedener Programme angeschaut.
Im "Ruhezustand" ( bei offenem Firefox-Browser) werden beim mir ca. 5 Verbindungen angezeigt, die aber im Extremfall auf mehr als 100 Verbindungen absteigen - ein mit verdächtig erscheinendes Verhalten.
Auf der linken Seite des Ressourcenmonitors wird zu jeder TCP-Verbindung die Lokale- und die Remote-Adresse angezeigt und (zumeist) auch ein Name des Programmes, das den lokalen Endpunkt der TCP-Verbindung darstellt.
Hier erschienen mir wieder jene Einträge besonders verdächtg, die beim Namen dieses Programmes lediglich einen Binde-Strich ( nicht festellbarer Ursprung ? ) stehen hatten.
Die Remoteadresse dieser TCP-Verbindung habe ich mir näher über einen "WhoIS-IP" bzw. den dort mit angebotenen Trace näher angeschaut und zu meiner Überraschung selbst für rein östereichische Ziele (z.B. zum Standard oder zu A1) immer eine über die USA und Denver ( vermutlich Hauptsitz der NSA ! ) geroutet TCP-Verbindung (über ca. 10-15 Hopps).
Für mich stellte sich nun die Frage, ob diese Route durch Malware auf meinem PC ausgelöst wurde, oder durch "andere Umstände".
Ergebnis:
Meine Untersuchungen habe ergeben, dass höchstwahrscheinlich nicht Malware auf meinem eigenen Rechner die Ursache sein dürfte, sondern bereits der Zugang zu den Domain-Nameservern (zumindest von A1) diese Umleitung auslöst.
Erst gestern habe ich auf meinem lokalen Rechner einen Root-Kit Scan und ausführlicfen Virenscan durchgeführt und (hoffentlich) alle Probleme behoben. Garantie, dass nun nichts Bösartiges mehr drauf ist ist das natürlich nicht.
Das würde also bedeuten, dass alle Internet-User von A1 automatisch durch NSA auspioniert werden !
Bitte daher alle Zugänge zu euren Domain-Name Servern eurer Provider prüfen :
ob in den Trace-Routes zu diesen Domain-Name Servern eine Umleitung nach USA/Denver oder ähnlich verdächtige Ziele enthalten sind.
Genauere Details mit meinen Trace-Ergebnissen folgen hier später noch !
Wenn meine Ergebnisse korrekt sein sollten, dann ist die ursprüngliche Zeitungsmeldung ( "Unbekannte haben.... ausspioniert" ) immer noch aktuell und ein Dauerzustand.
(gesamter ?) Internetverkehr wird immer zur NSA abgezweigt !
Aucun commentaire:
Enregistrer un commentaire