Vodafone meint, ich habe einen Virus
 

Wahrscheinlich war der Tag zu lang für mich, aber hier komme ich echt nicht mehr hinterher. Kann sich das jemand zusammenreimen?

1. Mein DSL-Anschluss ist bei 1&1
2. Ich setze mich an den Computer und surfe mit dem Browser meines Vertrauens "www.spiegel.de" an
3. Ich erhalte daraufhin im Browser eine Sicherheitswarnung von Vodafone, ein Gerät in meinem Netz sei von einer Schadsoftware befallen

Soweit nichts was mich schockieren würde - Irgendein per JavaScript eingebundenes Werbebanner wird mich hier wohl weitergeleitet haben und möchte jetzt dass ich "Virenscanner.exe" herunterlade und ausführe, oder?

Nun, in meinem Browser sieht es erst einmal so aus:
Anhang 50808

Ok, kein HTTPS, aber es scheint ja schon einmal wirklich "vodafone.de" zu sein. Außerdem scheint er mich kampflos auf "http://www.spiegel.de" wechseln lassen zu wollen. Finde ich merwürdig.

Gehe ich auf
https://www.internetanbieter.de/ratg...ernetanbieter/
steht hier auch "Vodafone". Ok, scheint das auch schon einmal seine Richtigkeit zu haben.

Ich möchte hier verstehen wie der Ablauf kam, wie der Internetanbieter hier dazwischen grätscht. Ich habe mal mit F12 noch ein paar Dinge aus der Browser-Konsole abfotografiert, kenne mich damit allerdings nicht aus. Wie kam es hierzu? Ich kann hier nicht rauslesen dass mich irgendein JavaScript weitergeleitet hätte, für mich als Amateur sieht es wirklich so aus wie ein Man in the Middle durch den Internetanbieter.

Liege ich da richtig?

AW: Vodafone meint, ich habe einen Virus
 

Kurz gegoggled... vielleicht hilft dir das weiter :)

https://www.onlinewarnungen.de/warnu...stem-gefunden/

Oder das: https://www.trojaner-board.de/194504...ung-viren.html

AW: Vodafone meint, ich habe einen Virus
 

Bevor man sowas beurteilt, sollte man sich ein umfassendes Bild machen. Per DNS-Umleitung ist es durchaus möglich, von Provider-Seite den Kunden auf andere Seiten umzuleiten. Dazu braucht es nicht unbedingt Javascript. Die Telekom-Navigationshilfe ist ein Beispiel für eine solche DNS-Umleitung.

Wenn diese Umleitung auch mit anderen Webseiten, mit anderen Browsern, und unter anderen Betriebssystemen (vorzugsweise Live-System) auftritt, könnte es tatsächlich so sein, dass irgendein Rechner in deinem LAN befallen ist, aber auch ein Befall des Routers in welcher Form auch immer ist vorstellbar.

Interessant zu wissen wäre, wohin die Links tatsächlich führen, und welche Inhalte dort präsentiert werden. Könnte man in einer VM oder mit einem Live-System untersuchen.

Ach, und der Zusammenhang 1&1 und Vodafone ist durchaus plausibel, denn 1&1 nutzt unter Umständen Netze und Leitungen von Vodafone (wie bei meinem Bruder der Fall).

PS: Die Telekom verschickt Briefe, wenn ein Internetkunde Spam verschickt, z.B. bei Befall mit einer Schadsoftware, die massenhaft Mails verschickt.

Grüße
Dalai

AW: Vodafone meint, ich habe einen Virus
 

Es gibt keinen Browser-Virenscanner, der einfach so losläuft, wenn Du auf eine Webseite gehst. In jedem Fall solltest du eine Mail an SPON schreiben, daß einer ihrer Werbepartner Schindluder mit deren Vertrauen treibt.

Sherlock

AW: Vodafone meint, ich habe einen Virus
 

Das ganze lässt sich doch recht einfach prüfen:
Nimm einfach dein Handy, das ja sicherlich per W-LAN über den gleichen Anschluss läuft und rufe die Webseite aus dem Screenshot auf. Wenn du dann die gleiche Seite bekommst, muss es von Vodafone selbst stammen oder es ist etwas auf dem Weg jenseits deines Rechners infiziert.
In diesem Fall solltest du die Warnung ernst nehmen und ggf. noch einmal mit Vodafone sprechen, denn dann bekommst du die Meldungsseite ja auf einem zweiten Gerät über die Vodafone-URL, das heißt die wird dann wohl wirklich bei denen gehostet sein.

Wenn du die Seite am Handy via W-LAN nicht bekommst (ich bekomme da, dass meine Client Adresse unbekannt sei, es ist ja auch kein Vodafone Anschluss), ist die Wahrscheinlichkeit relativ hoch, dass die Meldung dir an deinem PC untergeschoben wurde, z.B. durch ein Browserplugin.
Auch dann solltest du handeln, weil auch dann vermutlich dein PC infiziert ist.

AW: Vodafone meint, ich habe einen Virus
 

Wenn Du so eine Meldung bekommst, solltest Du den Link überprüfen (aber nicht drauf klicken!).

Also rechts klick, Link kopieren und in Notepad einfügen.
Dann wird vermutlich schnell klar, dass der Link vermutlich nicht da hinführt, was auf dem Screenshot angezeigt wird.

Auf jedenfall den Browser cache löschen und den scanner laufen lassen. Evtl. liegt noch schädlicher Java Script code rum.

AW: Vodafone meint, ich habe einen Virus
 

Danke für die Rückmeldungen.

Wie auch auf den Screenshots sichtbar: Doch, es kommt von Vodafone und keiner der Links (auch nicht mittels Javascript-Tricks) führt auf irgendwelche dubiosen Seiten.

Mich interessiert weniger das "Warum" (und gehe ehrlich gesagt auch von einem False Positive aus), sondern eher das "Wie".

Ich habe direkt mehrere Seiten parallel im Browser aufgemacht, und nur bei der ersten Seite ist Vodafone reingegrätscht. Danach kam das nie wieder, ich bekomme es auch nicht reproduziert.

AW: Vodafone meint, ich habe einen Virus
 

Das "Wie" kann Dir nur Vodafone sagen. Wenn sie es wirklich sind, und bereit sind eine solche Information zu teilen. Falls es wirklich Vodafone ist, dann kann es nur sein, daß die den Traffic, der von Deiner IP (statisch oder dynamisch?) ausgeht überwachen und "seltsame" Pakete identifizieren. Deinen Rechner können die nicht scannen. Es sei denn Du hast etwas von Vodafone installiert.

Bleibt also nur, Vodafone zu fragen, was diese Meldung bedeutet.

Sherlock

AW: Vodafone meint, ich habe einen Virus
 

Nein, ich meine nicht "wie feststellen" sondern "wie dafür sorgen dass diese Seite bei mir angezeigt wird"

Ich kenne mich mit HTTP nicht so aus

AW: Vodafone meint, ich habe einen Virus
 

Das hat mit HTTP doch überhaupt nichts zu tun.

Frage: Wer liefert dir die Bytes aus, damit du eine Webseite ansehen kannst?
Antwort: Der Host, wo die Webseite liegt (also spiegel.de in diesem Fall).

Frage: Und diese Bytes werden direkt an dich gesendet?
Antwort: Ja, nicht so ganz, es geht ja unter anderem über die Technik von Vodafone.

Frage: Wenn Vodafone aber jetzt anstatt der Bytes von spiegel.de einfach andere Bytes ausliefert, kannst du/dein Browser das unterscheiden?
Antwort: ... achso ...

AW: Vodafone meint, ich habe einen Virus
 

Das ist eventuell nicht zielführend. Versuch doch erstmal herauszufinden, ob Vodafone wirklich Herausgeber dieser Meldung ist, sie könnten es ja gut mit Dir meinen. Irgendwas müssen die Dir schon dazu erzählen können. Nur darauf basierend sind weitere sinnvolle Schritte möglich.

Sherlock

AW: Vodafone meint, ich habe einen Virus
 

Ganz ehrlich: Wenn man ein wenig sucht findet man immer wieder nur eine einzige Aussage "nicht mal Vodafone kennt die Meldung". Und das sagt schon viel aus. Ich denke das diese Seite ein Fake ist. Auch der "Hinweis" "campaign" (= (Werbe-)Kampagne) in der Adresszeile hat weniger was mit einer echten Sicherheitsprüfung zu tun.

Welche Linkadressen werden dir denn angezeigt, wenn du über den Links den Mauszeiger hast (bei Chrome unten rechts) oder wenn du "Linkadresse kopieren" wählst? Besonders der 2. Link ist hier interessant, da das vom Wortlaut in Richtung Verkauf/ Download geht, woaruf diese Anzeige eher abzielen könnte (mit Panik Geld verdienen).

AW: Vodafone meint, ich habe einen Virus
 

Das habe ich versucht im dritten Bild etwas zu zeigen: Ganz normal http vodafone.de:

AW: Vodafone meint, ich habe einen Virus
 

Bekommst du das denn in allen Browsern?

Ich habe mir letztes Jahr auch irgendwie so eine Adware in meinem Firefox eingefangen, und das obwohl ich immer extrem vorsichtig bin, JavaScript und Werbung standardmäßig blocke, und auf Linux unterwegs bin. Dachte immer, sowas passiert nur DAUs, aber ich wurde eines besseren belehrt. Bei mir wurden ca. einmal am Tag zufällig Google-Suchergebnisse auf dubiose Seiten umgeleitet, die mir irgendwelche Schlangenöl-/Schadsoftware andrehen wollten. Der Umstand, dass es nur so selten passierte, machte es unmöglich, herauszufinden, woran es lag. In der Browser-Konsole war nie etwas auffälliges zu sehen, ich hatte nach und nach per Ausschlussverfahren alle möglichen Addons deaktiviert, aber dieses Teil hatte sich irgendwie so tief im Profil eingenistet, dass das alles nichts brachte. Ich habe meinen gesamten Profil-Ordner durchforstet, in der Hoffnung, irgendwas zu finden. Habe ihn sogar mit Antivirensoftware gescannt. Nichts gefunden. Ich musste ein komplett neues Profil anfangen, um das Ding loszuwerden. War etwas nervig.

Was ich auch nicht verstanden habe: Wenn ich bereits infiziert bin, warum versuchen die mir noch weitere Schadsoftware anzudrehen? Man darf nicht mit zu viel Logik an die Sache rangehen. Ich war auch kurz davor, meinen Verstand zu verlieren und hatte schon die Webseiten, die ich aufrufe, im Verdacht, genau so wie du dich jetzt fragst, ob die Meldung nicht vielleicht wirklich von Vodafone kommt. Am Ende lag es eben doch an mir. Ist bei dir wahrscheinlich auch so.

AW: Vodafone meint, ich habe einen Virus
 

Ich hatte das ein einziges mal als ich einmal spiegel.de angesurft habe. Gleichzeitig hatte ich noch Tagesschau.de in einem anderen Tab geöffnet, da war alles normal.

Ich habe seit dem einen mal die Meldung nie wieder gesehen.

Ich habe den Tab auch noch offen.


Ich persönlich gehe schon davon aus dass es wirklich von Vodafone kommt. Und natürlich dass es ein false positive ist. Viren? Ich doch nicht!

AW: Vodafone meint, ich habe einen Virus
 

Was heißt "seit dem einen mal"? Wie lange ist das her? Bei mir kam das wie gesagt auch nur einmal pro Tag und nur bei manchen Seiten bzw. Suchanfragen.

Kannst du mal ein traceroute zu irgendeiner Seite machen und schauen, ob du überhaupt über Vodafone geroutet wirst? Ich hatte mal Vodafone per Mobilfunk (ebenfalls über 1&1), und die haben tatsächlich einen ziemlich aufdringlichen Proxy, der einem gerne mal HTML-Seiten umschreibt, Bilder nachkomprimiert, oder umleitet, wenn das "Highspeed-Volumen" aufgebraucht ist. Insofern würde mich dieses Einlinken in den Traffic bei dem Laden auch nicht wirklich wundern. Aber ich hätte jetzt gedacht, dass die das nur bei Mobilfunk machen und nicht bei DSL-Anschlüssen. Das wäre schon dreist.

AW: Vodafone meint, ich habe einen Virus
 

Nach allem was du geschildert hast, würde ich auch annehmen, dass es von deinem ISP kommt. Was noch interessant wäre: Nutzt du den DNS Server von deinem ISP oder einen selbst definierten?

Wenn du deren DNS Server nimmst, ist es relativ einfach dir so eine Meldung zu präsentieren.

Und denk daran, es muss nicht dein Rechner sein. Die meisten Leute haben ja noch mehr Geräte im Heimnetz, sei es ein Fernseher, Toaster, AV Receiver oder der Starubsauger. Kann alles durch ein Botnetz befallen und als Teil des Botnetzes umfunktioniert werden. Falls du eine Dritzbox hast, kannst du von der ja mal mitschneiden lassen, was so alles ins Internet verbindet. Vielleicht siehst du da ja etwas verdächtiges (Zahlenmäßig oder Datenvolumen mäßig)

AW: Vodafone meint, ich habe einen Virus
 

Das ist doch völlig egal, welchen DNS Server du verwendest. Wenn über Vodafone-Technik die Bytes kommen, dann kann Vodafone auch entscheiden, ob die diese Bytes nur durchreichen (routen) oder etwas komplett anderes liefern.

Das Stichwort Proxy ist hier auch schon gefallen und da kann man nachlesen, was so ein Dingen macht/machen kann

AW: Vodafone meint, ich habe einen Virus
 

@Schokohase:
Es geht beides. Siehe meine Bemerkung zur Telekom Navigationshilfe, die lediglich eine simple (und überflüssige) DNS-Umleitung ist. Ein (transparenter) Proxy ist eine weitere Möglichkeit. Ein MitM ist eine andere, die aber gegen Gesetze verstoßen dürfte, wenn sie ein Provider einfach so bei Kunden anwendet (Pakete haben einerseits gleich behandelt und andererseits nicht manipuliert zu werden).

Grüße
Dalai

AW: Vodafone meint, ich habe einen Virus
 

Wie schon geschrieben:
Bekommst du diese Seite denn von einem anderen Gerät an deinem Anschluss unter der URL aufgerufen? Zum Beispiel eben vom Handy aus via W-LAN?

AW: Vodafone meint, ich habe einen Virus
 

Ich hatte diese "Seite" nur ein einziges mal, eben gestern. Ich habe mehrere Seiten gleichzeitig "angesurft" und nur beim ersten Tab erschien eben das. Ich habe es danach nie wieder gesehen.

Ich habe den Tab auch noch offen, für den Fall dass ich in der Konsole etwas schlaues nachsehen könnte.

Rufe ich die URL noch ein weiteres mal auf (http://sicherheit.vodafone.de/campai...ww.spiegel.de/) bekomme ich mittlerweile einen HTTP 403.

AW: Vodafone meint, ich habe einen Virus
 

Ich weise gerne nochmal auf den "campaign"-Part in der Adresszeile hin. Ggf. war dies einfach nur eine Werbeeinblendung (Werbekampagne) seitens Vodafone, da sie ihr Sicherheitspaket verkaufen wollen.

Ob das jetzt mit Panik mache á lá "du hast einen Virus und brauchst mehr Sicherheit -> kauf unser Sicherheitspaket" jetzt so gut ist wage ich zu bezweifeln, kannte das bisher nur als Fakes unseriöser Seiten damit sich leichtgläubige Leute dubiose Dateien auf den Rechner laden und dann wirklich sich was eingefangen haben.

AW: Vodafone meint, ich habe einen Virus
 

Bleibt am Ende nur zu sagen, daß es ganz simple ScareWare war, die da zuschlug. Und weil ScareWare nunmal eines seriösen Unternehmens nicht nur unwürdig sondern auch rufschädigend ist, dürfte man sich bei Vodafone schnell entschlossen haben, den Praktikanten, der sich den Dünnpfiff ausgedacht hat einem anderen Aufgabengebiet zuzuweisen, zum Beispiel Kloputzen.

Und damit die sich das merken und in der Marketing Abteilung als riesiges Poster hängen haben, sollte man sich nach anderen Providern umsehen.

O'Neill

AW: Vodafone meint, ich habe einen Virus
 

Verwandt:

https://www.golem.de/news/t-online-n...05-141370.html