web-dev-qa-db-fra.com

E-mail reçu du FAI disant qu'un de mes appareils contient un malware

Mon père a reçu un e-mail suspect de notre FAI ( mtnl.net.in). L'e-mail venait de [email protected] et il y avait notre ID utilisateur (je l'ai masqué comme xxxxxxxx @ a) dans l'e-mail, donc il doit provenir du FAI lui-même.

Détails de l'e-mail ci-dessous:

Matière:

"Intimation concernant les systèmes infectés par des logiciels malveillants/virus"

Corps:

Cher Monsieur/Madame,
Salutations!
Il est observé que votre appareil connecté au réseau haut débit MTNL Mumbai avec le numéro haut débit xxxxxxxx @ a est infecté par un malware. Ceci est conforme à l'analyse de Computer Emergency Response Team -INDIA (Cert-IN), sous la tutelle du ministère de l'électronique et des technologies de l'information.
Malware (CNC) est un logiciel indésirable qui est installé dans le système des utilisateurs sans le consentement des utilisateurs pendant que l'utilisateur surfe sur Internet. Un attaquant ou un cybercriminel peut envoyer à distance des commandes à de tels systèmes qui sont compromis par des logiciels malveillants. Ces machines compromises peuvent être utilisées pour créer des réseaux puissants (botnet) de périphériques infectés capables de mener des attaques par déni de service distribué (DDoS), de voler des données, de supprimer des données ou de crypter des données afin de réaliser un plan d'extorsion. L'appareil fait partie du botnet en raison de logiciels malveillants/virus installés dessus.
Pour sécuriser vos appareils, veuillez vérifier la présence de logiciels malveillants/botnet sur vos appareils à l'aide d'Antivirus S/w.
Pour plus d'informations sur les programmes malveillants/réseaux de zombies et les contre-mesures, veuillez visiter https://www.cyberswachhtakendra.gov.in . Vous pouvez également télécharger "Outils de suppression de botnet gratuits".
Merci et cordialement,
MTNL, Mumbai


J'ai extrait tous les liens de l'e-mail et les ai analysés via le scanner d'URL https://www.virustotal.com/ mais tous ont été signalés comme sûrs.

Liens:

En regardant en ligne, il y a une question similaire sur Quora mais un scénario différent.

RÉSEAU AT ACCUEIL

  • Deux téléphones portables ( Android)
  • Un ordinateur portable ( Windows 10 avec antivirus Avira)

QUESTION:

  • Un FAI peut-il vraiment détecter cela?

  • Dois-je agir en conséquence et que dois-je faire?


Pour répondre à certaines des questions:

  • Seuls les 3 appareils ci-dessus sont connectés au wifi, aucun autre appareil IoT.
  • Mes parents sont les seuls utilisateurs ... vous pouvez donc exclure les navigateurs TOR ou toute recherche inappropriée.
  • Pas non plus de VM sur le réseau.
  • J'essaierai de contacter l'ISP mais c'est un gouvernement et j'ai un très mauvais support.

De plus, après avoir fait plus de recherches, il semble que Quick Heal ait un lien avec MTNL et BSNL, les deux fournisseurs gouvernementaux, il est donc possible qu'ils promeuvent simplement Quick Heal.

Liens: Link1Link2Link

Note personnelle: je trouve très étrange que MTNL ait réellement du mal à trouver des bots !!

30
Nigel Fds

Un FAI peut-il vraiment détecter cela?

Le FAI peut voir toutes les données que vos systèmes échangent avec Internet (mais pas le texte brut des données chiffrées). Sur cette base, il peut détecter des réseaux de zombies qui présentent souvent un comportement typique.

Dois-je agir à ce sujet et que faire?

Oui, vous devez agir à ce sujet car il semble y avoir des logiciels malveillants dans votre réseau qui sont utilisés pour perturber d'autres systèmes sur Internet (envoi de spams, attaques DDoS, utilisés comme VPN pour masquer les activités malveillantes et autres) et qui pourraient également affecter votre réseau interne (infecter des ordinateurs, voler des données, prendre des données en rançon ...).

Si vous ne résolvez pas le problème, vous pouvez également risquer que le FAI restreigne votre réseau ou même vous déconnecte complètement d'Internet (selon les conditions de service).

Sur la base des informations que vous avez fournies, il est impossible de dire exactement quel est le problème. Il se peut que votre ordinateur portable soit infecté (les antivirus n'offrent pas une protection à 100%) ou que l'un de vos téléphones ou que le routeur lui-même. Il peut également s'agir d'autres appareils de votre réseau que vous ne connaissez pas vraiment, comme un téléviseur, une imprimante, une caméra IP ou d'autres appareils IoT. Et cela peut également être causé par un logiciel que vous avez vous-même installé en connaissance de cause, mais qui possède une fonctionnalité malveillante cachée dont vous n'êtes pas au courant.

Les liens qu'ils ont fournis dans l'e-mail semblent corrects afin que vous puissiez les suivre pour plus d'informations et pour l'outil de suppression de botnet proposé. Mais si vous ne savez pas si le courrier provient vraiment de votre FAI, veuillez contacter le FAI - il nous est impossible de voir sur la base des informations fournies quelle est la véritable origine du courrier.

52
Steffen Ullrich

Cela ressemble à un e-mail légitime.

Quelqu'un a détecté qu'un ordinateur avec une adresse IP indienne faisait partie d'un botnet. Cela a été partagé avec votre CERT national (CERT-In). À leur tour, comme ils ne savaient pas quel utilisateur avait cette adresse IP au moment où elle a été détectée, ils ont informé votre FAI, qui à son tour a découvert quel client était responsable de cette connexion et a transmis cet avis à votre père.

Comme vous le voyez, ils vous dirigent vers un centre d'échange de botnet mis en place par CERT-In le https://www.cyberswachhtakendra.gov.in/

Le morceau qui me manque de cette notification est qu'ils ne mentionnent pas quand la connexion s'est produite, whic.

Si vous souhaitez vérifier leur réclamation ou obtenir de plus amples informations, je vous recommande de contacter directement avec CERT-In (le lien Contactez-nous sur https://cert-in.org.in/ fournit leur adresses mail).

Il me manque de la notification qu'ils vous ont envoyé l'heure à laquelle le comportement malveillant a été détecté ou au moins l'adresse IP que vous aviez à l'époque, ce qui rendrait difficile pour eux de savoir qui des centaines d'alertes similaires qu'ils ont envoyées est celle reçue par votre père. Bien que si vous avez la même adresse IP depuis un certain temps, il est probable qu'ils puissent trouver des événements pour votre adresse IP actuelle (vous devrez les leur fournir dans votre demande).

Étant donné que, supposément, dans cette maison, il n'y a qu'un ordinateur et deux téléphones mobiles, je soupçonne que l'appareil infecté est l'ordinateur portable, donc je commencerais par y exécuter l'outil de suppression de robots qu'ils recommandent sur le Cyber ​​Swachhta Kendra pour la désinfection, car il devrait être en mesure de désinfecter les logiciels malveillants dont ils avertissent. Et au cas où il ne découvrirait rien, alors demandez plus d'informations au CERT-In.

19
Ángel

L'adresse e-mail à partir de laquelle vous avez reçu le courrier semble authentique. Le corps du courrier ajoute également à l'authenticité. Cependant, les adresses électroniques des expéditeurs peuvent être usurpées en utilisant relais de messagerie ouverts . Selon le Département des télécommunications, le port 25 doit être bloqué pour réduire la surface de l'usurpation d'identité, mais de nombreux relais ouverts sont toujours actifs.

Pour confirmer l'authenticité du courrier, veuillez copier les en-têtes et voir le score de réputation du serveur SMTP d'origine. Référence à l'outil en ligne , n'oubliez pas de supprimer vos en-têtes de ce site après avoir analysé la source.

Vous pouvez également appeler votre FAI pour confirmer l'authenticité du courrier.

Maintenant, si votre FAI vous a vraiment envoyé ce courrier, demandez-vous de suivre les étapes ci-dessous pour atténuer le problème.

  • Lancez une analyse complète des logiciels malveillants sur l'ordinateur portable. vous pouvez utiliser n'importe lequel de ces logiciels anti-malware appel Trendmicro House , MalwareBytes , Avast . Une fois l'analyse terminée, supprimez les fichiers détectés, le cas échéant.
  • Installez l'outil Process Explorer pour voir quels processus s'exécutent sur l'ordinateur portable. vous avez une très bonne option dans cet outil pour vérifier si le processus en cours est malveillant ou non contre Virustotal (60+ logiciel anti-malware) . Si un processus est signalé comme malveillant, tuez-le, ouvrez son emplacement sur votre disque local et supprimez-le.
  • Recherchez les applications récemment installées dont vous n'êtes pas au courant ou qui vous semblent suspectes.
  • Faites également analyser vos téléphones pour détecter les logiciels malveillants, avec des applications mobiles anti-malware
  • Signalez les résultats des étapes ci-dessus à votre FAI et demandez-lui s'il voit toujours des connexions de botnet.

J'espère que ce qui précède résout votre problème, sinon, au moins vous auriez donné à votre FAI une longueur d'avance pour détecter la cause première du malware.

11
nocut

Vous devez prendre ce courrier au sérieux.

Il n'y a aucune raison de ne pas enquêter sur votre réseau contre les logiciels malveillants. (Vous n'avez pas besoin de cliquer sur leurs liens ou de télécharger leurs outils pour cela, de trouver les vôtres à partir de sources fiables ou de les enquêter d'abord.)

La seule information suspecte que je puisse voir dans l'e-mail est l'omission d'une menace/d'un malware spécifique. Cela rend la recherche et la suppression très difficiles pour l'utilisateur final moyen.

Malgré cela, je pense que c'est légitime.

Étant donné que le courrier fait référence à Cert-IN ( https://cert-in.org.in/ ), vous pouvez consulter sur leur site Web les alertes récentes, leur courrier fait probablement référence à un récemment menace découverte , vous pouvez donc les rechercher.

Puisque vous dites "les appareils sont connectés au wifi ", il pourrait y avoir une légère chance que ce ne soit pas un de vos les appareils infectés ... mais si c'était le cas, vous auriez toujours un problème.

Pourquoi prendraient-ils la peine de vous avertir?

Historiquement, les FAI étaient très laxistes à ce sujet, mais avec les logiciels malveillants et les botnets devenant une menace sans cesse croissante, la communauté internationale devient de plus en plus forte avec les FAI pour informer et sensibiliser leurs clients, ou être eux-mêmes soumis à une mauvaise réputation.

Pourquoi prendraient-ils la peine de trouver des robots?

Souvent, ce n'est pas le FAI qui trouve les bots, mais certains analystes et enquêteurs de logiciels malveillants - tels que Cert-IN - traquant l'infrastructure du serveur C&C (commande et contrôle), ou les communications de bot, puis trouvant des pairs infectés et informant les FAI de ces adresses IP, qui disposent alors des informations (adresse IP à la recherche client ISP) pour pouvoir informer leurs clients.

Vous pouvez lire quelques articles de blog intéressants d'analystes de logiciels malveillants pour mieux comprendre cela:

6
nyov

Est-ce une farce?

Il s'agit à 100% d'un e-mail malveillant.

La langue (trop heureuse), tout en essayant d'expliquer à un utilisateur ce qu'est un `` botnet '', en lançant des choses effrayantes aléatoires telles que l'extorsion et le cryptage, puis en demandant à l'utilisateur de rechercher un logiciel de `` suppression de virus gratuite '' et de l'exécuter.

Ouais, bonne idée! (non, c'est une mauvaise idée).

3
Dog

Il n'y a rien dans cet e-mail qui serait utile à un chapeau noir, donc c'est presque certainement légitime. Vous avez quelque chose sur votre système qui tente d’infecter d’autres systèmes ou qui communique avec un serveur de commande et de contrôle botnet connu et je pense que le premier scénario est beaucoup plus probable.

2
Loren Pechtel

L'email semble légitime. Mais il aurait pu être écrit par quelqu'un qui a peut-être déjà travaillé pour un FAI ou d'autres entreprises technologiques. Si vous avez dit que le service client est mauvais là-bas, vous ne pourrez probablement pas les appeler pour confirmer s'ils ont envoyé cet e-mail ou non.

En tout cas, ne cliquez sur aucun des liens contenus dans l'e-mail et suivez les conseils des autres personnes ci-dessus concernant l'analyse de vos systèmes. Être prudent à ce sujet serait une bonne idée, mais je pense personnellement que ce n'est pas légitime.

2
lockheed silverman

Essayez d'appeler votre FAI pour confirmer. Cela semble suspect dans le seul fait qu'il s'agit d'un e-mail non sollicité sans aucune personnalisation ou information sur vous qu'ils devraient avoir s'ils sont légitimement votre FAI.

Ils ne prendraient pas la peine de surveiller les appareils de leurs clients pour suivre les logiciels malveillants, ce n'est pas leur travail.

1
captainobvious

Un FAI peut-il vraiment détecter cela?

Un commentaire concernant cette question. Il est possible qu'un FAI ait reçu une réclamation et vous la transmette en tant qu'abonné.

J'examine les fichiers journaux de mon serveur pour détecter toute activité suspecte, comme essayer d'accéder à l'administrateur php. Quand je le vois, j'ai un script qui envoie un e-mail au service d'abus du FAI en fonction de l'adresse IP. L'e-mail comprend les entrées de journal pertinentes en fonction de l'adresse IP. Je demande au FAI de contrôler son client et je lui demande d'arrêter d'essayer de s'introduire dans mes machines.

Dans ce cas, le FAI ne surveille pas votre connexion ou n'atténue pas vos sessions. Ils réagissent simplement à une plainte.

1
user29925

Peut être. Mais Ne cliquez pas sur ce lien!

Sûr. Les gens ici ont parcouru les détails et tout semble légitime .

Mais cela serait également vrai pour tout hameçonnage compétent . Nous avons été gâtés, voyant des phishing incompétents si souvent. Mais en parlant de cela, notez la salutation de l'e-mail - Où est le nom propre d'OP, que le FAI devrait certainement connaître? Quant au numéro de compte que vous avez XXX, cela ressemble à quelque chose qui peut être dérivé de l'adresse e-mail.

Une grande partie de la confiance des gens est de ne pas voir de charge utile . L'URL affichée correspond à l'URL de survol/clic ici sur la copie coupée-collée de StackExchange, car StackExchange a vu une URL en texte brut et l'a rendue chaude.

Pour ma part, je n'ai aucune confiance dans un scanner qui déclare une liste d'URL sûre; comment le saurait-il? Il ne peut pas détecter un pirate connaissant simplement le mot de passe d'un site. Son mécanisme de connaissance est sûr d'avoir un certain retard. Si j'ai piraté un site Web, je ne ferais aucun changement apparent tant que je ne serais pas prêt à envoyer l'e-mail.

Je vais aller plus loin. Analyser un e-mail à ce degré ne vaut pas la peine, car il ne "se redimensionne" pas. Vous ne pouvez pas vous permettre ce contrôle pour chaque e-mail.

Contactez votre FAI - par des canaux indépendants

N'utilisez aucune information de contact trouvée dans l'e-mail. Utilisez les informations de contact que vous arrivez indépendamment, par exemple Hors de leur site Web légitime.

La lettre peut être vraie - est probablement vraie - et vous devez faire un suivi. Le FAI peut vous dire soit a) s'il est légitime, ou b) quelles mesures prendre à titre prophylactique (par mesure de précaution) au cas où il serait légitime.

N'oubliez pas les appareils IoT

Cela pourrait être n'importe quoi, du jouet d'un enfant au commutateur intelligent en passant par une caméra IP. Un grand nombre d'entre eux ont en fait un mini système Unix à bord, avec une adresse IP standard s'ils sont capables de se connecter au Wifi, ils peuvent être piratés et faire des choses malveillantes sur Internet (en tant qu'activité secondaire à leurs tâches normales).